TAN-Verfahren: Banken bewerben das Smartphone - sowohl beim Log-in ins Onlinebanking als auch bei der Freigabe von Transaktionen. Richtig genutzt, erhöht das für Kunden die Sicherheit. Von Brigitte Watermann
Die Mail der "Sparkasse" kam an einem Sonntag - und der Absender war dubios: "Abteilung der Sparkassensicherheit
Phishing-Mails sind so etwas wie der Klassiker unter den Abzockmethoden beim Onlinebanking. Phishing ist ein IT-Begriff, der sich ableitet aus dem Englischen "passwort fishing", also dem "Angeln" von Passwörtern et cetera. Das Problem: Nicht immer sind Phishing-Mails so schlecht gemacht wie diese, im Gegenteil: "Die Mails wirken inzwischen häufig täuschend echt, sodass es immer schwieriger wird, auf den ersten Blick zu erkennen, ob es sich um einen Betrugsversuch handelt", so Alexandra Schiefer, Leiterin Betrugsprävention bei der ING Deutschland. "Wir beobachten auch Suchmaschinen-Phi- shing über Bing oder Google mit eingekauften Suchergebnissen auf ‚Consorsbank‘ für wenige Stunden pro Angriff", sagt Michael Wichert aus dem Team IT-Security der Consorsbank. Kunden sollen so auf gefälschte Bank-Websites gelockt werden, um ihre Daten preiszugeben.
Doch wenn Kunden aufmerksam sind und Sicherheitskniffe beachten, bleiben sie auf der sicheren Seite. Die Sicherheitsverfahren werden daher laufend angepasst - und immer technisierter. Das sorgt offenbar für mehr Sicherheit: "Eine Zunahme von Schadensfällen beobachten wir derzeit nicht. Onlinebanking-Abzocke ist nichts, was derzeit wöchentlich bei uns gemeldet wird", erzählt Sascha Straub, Referatsleiter Finanzdienstleistungen bei der Verbraucherzentrale Bayern. Die Abzocker passen derweil ihre Betrugsmaschen laufend an die aktuelle Lage an, beobachtet Regine Liebl-Schibinger von der Fiducia & GAD IT AG, dem EDV-Dienstleister der Volks- und Raiffeisenbanken: "Corona hat eine neue Betrugsvariante hervorgebracht." Betrüger behaupteten gegenüber Bankmitarbeitern, sie befänden sich in Quarantäne und bräuchten nun dringend die Freischaltung eines neuen TAN-Verfahrens.
Dass sich Abzocker allerdings immer größere Mühe geben, um Kunden erst um ihre Log-in-Daten, dann um ihr Geld zu erleichtern, verwundert nicht. Denn Onlinebanking und -brokerage sind längst im Mainstream angekommen. Inzwischen führen bereits acht von zehn Deutschen ihre Konten online, wie eine aktuelle Umfrage des IT-Branchenverbands Bitkom zeigt - gerade ältere Bundesbürger haben in der Corona-Pandemie Onlinebanking und -brokerage für sich entdeckt - und für einen kräftigen Schub gesorgt. Zeitgleich entwickelt sich das Onlinebanking immer stärker zum Smartphone-Banking. Zwei Drittel der Onlinebanking-Kunden nutzen es bereits. Direktbanken wie die Consorsbank gehen längerfristig von einem hybriden Modell mit einer Mischung aus Mobile-Banking und Desktop-Nutzung aus - je nach Situation, in der sich der Kunde gerade befindet, und je nach Anlegertyp. Fortgeschrittene, sehr aktive Privatanleger dürften vermutlich weiterhin größere Bildschirme mit mehr Platz für Chartanalysen oder ausgefeiltere Trading-Tools bevorzugen.
Die Banken und Broker unternehmen das ihre, um Onlinebanking und -brokerage für ihre Kunden möglichst sicher zu machen - teils in Reaktion auf gesetzliche Anforderungen. So sorgte die EU-Zahlungsdiensterichtlinie PSD II dafür, dass das früher sehr verbreitete iTAN-Verfahren mit durchnummerierten TAN-Listen auf Papier per 14. September 2019 zumindest fürs Onlinebanking abgeschafft wurde. Bei Wertpapiertransaktionen, die nicht unter den Geltungsbereich der PSD II fallen, ist das Verfahren noch möglich, wird aber inzwischen allenfalls noch von wenigen reinen Onlinebrokern genutzt, wie unsere exklusive Umfrage zeigt.
Das schon in die Jahre gekommene mobile TAN-Verfahren, bei dem eine TAN per SMS aufs Handy geschickt wird, verliert an Bedeutung - zumal es für die Banken als teuer gilt. Sie dürfen nach Rechtsprechung des Bundesgerichtshofs (Az. XI ZR 260/15) nämlich nur dann Geld für eine SMS-TAN verlangen, wenn diese TAN auch für eine Zahlung genutzt wird - bei der durch PSD II zusätzlich geforderten Absicherung des Log-ins durch eine TAN ist das aber gerade nicht der Fall. "Die SMS-TAN wird ein Auslaufmodell und durch Banking-Apps mit Verfahren wie Push-TAN ersetzt werden", beobachtet Straub. Das belegt auch unsere Umfrage: Die ING bietet SMS-TAN seit April 2021 nicht mehr an, die Hypovereinsbank schafft sie bis September 2021 ab, die Volks- und Raiffeisenbanken werden die mobileTAN "in den nächsten Monaten" abschalten, und die Sparkassen folgen bis Mitte 2022. Aber auch der Komfort nicht nur bei der Orderfreigabe, sondern auch beim Log-in ist den Banken wichtig: So hat die ING im März den QR Log-in gestartet: Mit der Banking-App auf dem Smartphone scannt man auf der Website der Bank zwei QR-Codes - anstatt die üblichen Zugangsdaten einzugeben.
So kommen Sie ran an die TAN
Wer Onlinebanking am Rechner nutzt, loggt sich üblicherweise mit Benutzerkennung plus PIN ein. Die EU-Zahlungsdiensterichtlinie PSD II sieht zusätzlich mindestens alle 90 Tage die Bestätigung durch eine TAN vor. Wie unsere Umfrage zeigt, verlangen etliche Banken aber bei jedem Log-in die Eingabe. Wer Mobile-Banking auf einem aktuellen Smartphone nutzt, für den ist der Log-in schon ziemlich komfortabel: Handy mit Gesichtserkennung oder TouchID oder Code entsperren und dann die Banking-App öffnen, die ebenfalls derartig gesichert ist. Wer es sich etwas umständlicher, aber sicherer machen möchte, gibt jedes Mal Zugangsdaten und Log-in-Code von Hand ein.
Ist man drin und möchte Überweisungen tätigen oder Aktien kaufen, braucht man in aller Regel erneut eine TAN zur Orderfreigabe. Bei einigen Brokern sind Session-TANs möglich (siehe Tabelle). Ein Schnellüberblick über wichtige Verfahren abseits der mTAN, die bei den Banken meist eigene Namen haben, aber nach ähnlichen Prinzipien funktionieren:
TAN per Generator - ChipTAN oder SmartTAN: Der Kunde steckt seine Girocard in einen nicht mit dem Internet verbundenen TAN-Generator (in der Regel kostenpflichtig). Dank Hardwareverschlüsselung gilt das Verfahren als besonders sicher, es ist am PC, aber auch bei Mobile-Banking nutzbar, sofern man einen TAN-Generator unterwegs dabeihat.
TAN per optischem Code - photoTAN: In mehreren Varianten auf dem Markt - mit separatem Lesegerät (meist kostenpflichtig) oder auf dem Handy. In der Auftragsmaske im Onlinebanking scannt man mit dem - nicht mit dem Internet verbundenen - Smartphone oder einem photo-TAN-Lesegerät eine Grafik. Dann erhält man die nötige TAN.
Appbasierte Verfahren - pushTAN und Co: Inzwischen weitverbreitet bei vielen Instituten. Beim Smartphone-Banking wird das Handy technisch in zwei Kanäle getrennt: einen für die Auftragseingabe in der Banking-App, einen zweiten für den Empfang der TAN. Die TAN lässt sich meist einfach in die Banking-App übernehmen, der Auftrag dann freigeben. Auch beim Onlinebanking am PC nutzbar, das Handy fungiert hier als TAN-Generator.
Sicherheitstipps fürs Onlinebanking
Auf dem Weg zur Arbeit in Bus und Bahn eine Überweisung tätigen? "Bankgeschäfte sind öffentlicher geworden", beobachtet Sascha Straub von der Verbraucherzentrale Bayern. Doch er rät zur Vorsicht: "Man sollte sich überlegen, ob es wirklich nötig ist, dass ich unterwegs in der Öffentlichkeit eine Überweisung mache."
Klar ist: "Das Smartphone ist ein Computer, mit dem man auch telefonieren kann", sagt Straub, folglich müsse man es genauso schützen wie einen PC. Das bedeutet: Bei Smartphones - wie auf dem Rechner - sollte man stets das aktuellste Betriebssystem nutzen, nicht ein altes, lediglich upgedatetes. Das kann aber bedeuten, dass man sich häufiger ein neues Gerät zulegen muss. "Wichtig: Verliere ich mein mit dem Onlinebanking verknüpftes Handy, muss ich es der Bank melden", sagt Straub.
Die aktuellen Sicherheitsanforderungen im Onlinebanking der verschiedenen Anbieter finden Sie hier.
Immer aufpassen sollte man bei SMS oder E-Mails, die vermeintlich von der Bank kommen. Sollen Sie sich einloggen, weil es "Probleme" mit Ihrem Konto gibt, und das möglichst rasch, damit Ihr Konto nicht gesperrt wird oder Sie hohe Gebühren zahlen? Dann handelt es sich garantiert um Phishing. "Eine seriöse Bank wird nie per Mail um einen Datenabgleich bitten und mit Kontosperrung drohen", sagt Regine Liebl-Schibinger von der Fiducia & GAD IT AG. Im Zweifel sollten Bankkunden bei der Bank nachfragen - und die Telefonnummer selbst in Erfahrung bringen, statt die Nummer einer möglicherweise gefälschten E-Mail zu entnehmen. Betrüger kombinieren oft technische Angriffe mit sogenanntem Social Engineering wie Anrufen, Phishing-Mails oder -Websites, warnt sie. Die Verbraucherzentralen informieren auf ihrem Phishing-Radar über aktuelle Abzockwellen. Banken haben auf ihren Websites Sicherheitstipps parat.