Eine Gnadenfrist für die SMS-TAN

Wie sicher sind andere »Authentifizierungsverfahren« im Bankengeschäft?

  • Von Hermannus Pfeiffer
  • Lesedauer: 4 Min.
Eine SMS, in der eine sogenannte mobileTAN" zur Verifikation von Banküberweisungen angezeigt wird, steht auf dem Display eines Handys.
Eine SMS, in der eine sogenannte mobileTAN" zur Verifikation von Banküberweisungen angezeigt wird, steht auf dem Display eines Handys.

»Ich bin alt, aber kein Idiot!« Unter diesem Motto startete der pensionierte Arzt Carlos San Juan de Laorden Anfang des Jahres eine Internet-Protestkampagne und wurde für zigtausende Spanier zum gefeierten Helden und zu einem Sprachrohr für die »Verlierer der Digitalisierung« – nämlich den älteren Menschen. Sein Aufschrei fand international ein derart großes Echo, dass Spaniens Wirtschaftsministerin ihn höchstpersönlich empfing.

Wieder einmal werden eingefahrene Verfahren von der Geldindustrie umgemodellt, wobei sie nicht einfacher werden. Branchenweit werden die »Authentifizierungsverfahren« für die Nutzung des Onlinebankings umgestellt. Mit der Umstellung soll die Sicherheit für Kunden und Banken erhöht werden. Allerdings galt das bisherige Verfahren aus Kundensicht durchaus auch als sicher. Aus Bankensicht ist es »gut, aber nicht gut genug«. Die Kriminalitätsrate liegt zwar im Promillebereich, soll aber vor allem im grenzüberschreitenden Zahlungsverkehr weiter minimiert werden. Im Trend versuchen die Banken zudem, das Onlinebanking stärker zu standardisieren, um Kosten zu senken.

Alle Vorgänge, die Sie als Kunde digital durchführen, erfordern eine Legitimation. Dies ist mittels verschiedener PIN-TAN-Verfahren möglich. Das PIN-TAN-Verfahren erfordert zwei Nummern – die Persönliche Identifikationsnummer (PIN) und die Transaktionsnummer (TAN). Wie aber funktionieren die einzelnen Verfahren?

App-basierte-TAN-Verfahren: Zunächst geben Sie die Überweisungsdaten ein. Im Anschluss erhalten Sie in der Banking-App eine Nachricht mit den Daten. Erst nach Ihrer Bestätigung wird die TAN angezeigt. Diese können Sie bei Nutzung einer Banking-App automatisch in die Überweisungsvorlage übernehmen, ansonsten muss sie abgetippt werden.

Photo-TAN: Bei diesem Verfahren benötigen Sie einen Computer (oder Tablet) und ein Smartphone mit einer entsprechenden App. Nachdem Sie die Überweisungsdaten eingegeben haben, müssen Sie mit der Photo-TAN-App einen QR-Code scannen. Im Display erscheinen nun die Überweisungsdaten sowie eine TAN.

»mTAN«, »mobileTAN«, SMS-TAN: »mTAN« steht für »mobile TAN«, wird aber auch »SMS-TAN« genannt. Für Ihre Bankgeschäfte brauchen Sie zwei Geräte: Computer und Mobiltelefon. Das Mobiltelefon dient zur Übertragung für die TAN: Diese wird per SMS auf das Handy gesendet.

chipTAN», «smartTAN»: Auch hier sind zwei getrennte Geräte erforderlich: der Computer und ein sogenannter TAN-Generator, etwa in Größe und Format eines kleinen Taschenrechners. Um den TAN-Generator verwenden zu können, benötigen Sie ihre Bankkarte. Nachdem der Generator die TAN erzeugt hat, müssen Sie auch diese in dem Onlinebanking-Portal eingeben.

Onlinebanking kann man auch per HBCI-Verfahren (Home-Banking-Computer-Interface Verfahren) praktizieren. Neben einer speziellen Software und einem Lesegerät brauchen Sie für dieses Verfahren eine Chipkarte. Die Chipkarte wird in das mit dem Computer verbundene Lesegerät gesteckt. Die PIN wird in das Lesegerät eingegeben, die Chipkarte erstellt eine digitale Unterschrift, und der Auftrag wird verschlüsselt an die Bank gesendet. Dieses Verfahren gilt unter Experten als das sicherste.

Dennoch gibt es immer wieder Versuche von Kriminellen, TANs in Erfahrung zu bringen. Beim «Phishing», dem Abfischen von Daten, werden Sie beispielsweise per E-Mail aufgefordert, mit dem vermeintlich eigenen Kreditinstitut Kontakt aufzunehmen. Um das PIN-TAN-Verfahren sicherer zu machen, haben die Kreditinstitute daher einige weitere Vorsichtsmaßnahmen eingebaut, die die Sache nicht leichter machen. So wird beispielsweise die Onlinebanking-PIN automatisch gesperrt, wenn Sie dreimal hintereinander eine falsche Nummer eingeben. Auch gilt für die Durchführung einer Transaktion eine zeitliche Begrenzung von fünf Minuten.

«Prüfen Sie immer die angezeigten Auftragsdaten in der TAN-App oder auf dem Display des TAN-Generators mit den Originaldaten – zum Beispiel auf einer Rechnung –, bevor Sie eine Transaktion bestätigen», empfiehlt der Sicherheitsexperte des Bankenverbandes BdB. Wenn Sie Unregelmäßigkeiten in den Auftragsdaten feststellen, führen Sie den Auftrag nicht aus und informieren Sie die Bank. Wer partout das Verfahren nicht mag, welches ihm seine Bank oder Sparkasse zukünftig anbietet, bleibt nur der Wechsel des Geldinstituts. Doch was ist mit Kunden, die kein Smartphone benutzen? Dann wird es aus rechtlichen Gründen eben weiterhin analog gehen müssen.

nd Journalismus von links lebt vom Engagement seiner Leser*innen

Wir haben uns angesichts der Erfahrungen der Corona-Pandemie entschieden, unseren Journalismus auf unserer Webseite dauerhaft frei zugänglich und damit für jede*n Interessierte*n verfügbar zu machen.

Wie bei unseren Print- und epaper-Ausgaben steckt in jedem veröffentlichten Artikel unsere Arbeit als Autor*in, Redakteur*in, Techniker*in oder Verlagsmitarbeiter*in. Sie macht diesen Journalismus erst möglich.

Jetzt mit wenigen Klicks freiwillig unterstützen!

Unterstützen über:
  • PayPal