Immer wieder stellen Geldinstitute irgendetwas an der Art und Weise um, mit der Kunden Online-Überweisungen per TAN ausführen können. So schaltete die Deutsche Bank im März das HBCI-Verfahren mit Chipkarte ab, die Postbank musterte im Mai die Chip-TAN aus, und die Volksbanken und Sparkassen haben angekündigt, den SMS-Versand der TAN noch in diesem Jahr einzustellen. Schon diese drei Großbanken betreffen Millionen Bankkunden, Änderungen bei kleineren Finanzinstituten sind da noch gar nicht berücksichtigt.
Solche Umstellungen haben zum einen zur Folge, dass sich viele Verbraucher mit Fragen konfrontiert sehen: Muss ich aktiv werden, um meine Bankgeschäfte weiter online abwickeln zu können? Welche Alternativen gibt es, und welches TAN-Verfahren ist für mich geeignet? Und schließlich: Was muss ich tun, wie funktioniert die Umstellung tun, und brauche ich eine neue App oder gar neue Hardware?
Zum zweiten rufen bereits die Ankündigungen, dass sich bei den TANs etwas ändert, Betrüger auf den Plan, per Phishing-Mail oder -SMS an Ihre Zugangsdaten fürs Online-Banking zu kommen. Davor warnten im Frühjahr die Verbraucherzentralen nochmals ausdrücklich. Welche Betrugsversuche aktuell verbreitet sind, listet die Verbraucherzentrale NRW in ihrem „ Phishing-Radar “ auf.
Übersicht: Aktuelle Gefahren und Schutz beim Online-Banking
EU-Zahlungsdiensterichtlinie verlangt dynamische TANs
Wie bei anderen Online-Accounts üblich, loggt man sich auch beim Internet-Banking mit seinen persönlichen Zugangsdaten ein. Danach zeigt das Bankportal eine Übersicht der eigenen Konten, Kreditkarten und so weiter inklusive der Saldi. Machen im eigentlichen Wortsinn können Sie nach dem Log-in jedoch noch nichts. Denn für jede Aktion wie eine Überweisung, das Einrichten eines Dauerauftrags oder das Ändern der persönlichen Daten benötigen Sie eine TAN, also eine Transaktionsnummer.
Eine solche Transaktionsnummer stellt ein aus sechs Ziffern bestehendes Einmal-Passwort und damit neben dem Log-in einen zweiten Faktor dar. Salopp ausgedrückt sehen potenzielle Gelddiebe Ihrer Zugangsdaten zwar, wie viel Geld Sie besitzen, ohne gültige TAN kommen sie aber nicht ran. Die Nummern sollen also sicherstellen, dass Banktransaktionen im Internet wirklich von der autorisierten Person durchgeführt werden. Nicht mehr erlaubt sind die früher üblichen gedruckten TAN-Listen. Denn mit Inkrafttreten der zweiten EU-Zahlungsdiensterichtlinie (PSD2) im Jahr 2019 müssen die TANs zusammen mit dem Überweisungsdaten erzeugt werden, zudem sind sie zeitlich nur begrenzt gültig.
Zum Generieren der TANs stehen technisch ganz unterschiedliche Wege zur Verfügung, die Methoden unterscheiden sich hinsichtlich Komfort und Sicherheitslevel. Sicherheitsgründe sind es auch, dass der TAN-Versand per SMS mehr und mehr eingestellt wird. In der Vergangenheit war es Betrügern immer wieder gelungen, über die Mobilfunkprovider an Ersatz-SIM-Karten zu kommen und damit auch an die von den Banken per SMS verschickten Transaktionsnummern. Ein weiteres Risiko stellen Trojaner auf dem Smartphone dar.
Welche TAN-Verfahren die Banken jeweils anbieten, liegt in deren eigenem Ermessen. Als Kunde haben Sie darauf keinen Einfluss und zudem nur dann eine Wahl, wenn Ihr Kreditinstitut überhaupt mehrere Verfahren offeriert. Ob und welche das gegebenenfalls sind, ist nicht immer einfach herauszufinden. Denn häufig drängen Banken ihre Kunden aus Kosten- oder administrativen Gründen in ein Verfahren oder geben ihnen Fantasiebezeichnungen: Was sich hinter BestSign, easyTAN, SecurePlus oder TAN2go verbirgt, erschließt sich nicht jedem Nutzer sofort. Hier helfen Übersichten im Internet weiter, wie sie beispielsweise Kostenloses Konto 24 unter und Kontovergleich24 bieten.
Tipp: Schafft die eigene Bank Ihre bislang bevorzugte TAN-Methode ab, wechseln Sie deshalb nicht gleich das Institut – das neue könnte ein paar Monate später nachziehen. Meist gewöhnt man sich schnell an das geänderte Verfahren.
SMS-, Chip-, Push-TAN & Co.: Die Möglichkeiten im Überblick
Dass es nicht die eine beste Methode zum Erzeugen der Transaktionsnummern gibt, zeigen schon die Vorgänge bei Deutscher Bank, Postbank, Sparkassen und Volksbanken: Während die Postbank die Chip-TAN abgeschafft hat, wird das Verfahren von den Sparkassen aktiv beworben. Der folgende Überblick nennt alle gängigen Arten inklusive ihrer Vor- und Nachteile, einige erfordern ein zusätzliches Gerät.
SMS-TAN (auch mobileTAN oder mTAN genannt): Die Bank verschickt die generierten TANs per Kurznachricht. Weil Smartphones eben- so wie PCs mit Schadcode infiziert sein können oder die TAN-SMS über eine zusätzliche SIM-Karte abgefangen werden kann, ist das Verfahren tendenziell unsicher und wird zunehmend abgeschafft.
Chip-TAN (auch eTAN oder Smart-TAN genannt): Bei der Chip-TAN kommt ein handlicher TAN-Generator zum Einsatz, in den man seine Girocard („EC-Karte“) einsteckt. Das Ausführen einer Überweisung am PC erzeugt am Bildschirm einen optischen Code, den der TAN- Generator einliest und daraus die zugehörige TAN erzeugt. Diese tippt man im Browser oder Banking-Programm ein und führt dadurch online die Geldtransaktion aus. Weil dabei zwei voneinander unabhängige Geräte zum Einsatz kommen, ist Chip-TAN sehr sicher. Nachteil: Man benötigt einen TAN-Generator, den man von der Bank bekommt oder im Handel kaufen muss (ab etwa 15 Euro).
Photo-TAN und QR-TAN sind Unterarten der Chip-TAN, hier werden statt der Flicker-Codes farbige Mosaikgrafiken beziehungsweise ein QR-Codes erzeugt. Für beides benötigt man spezielle TAN-Generatoren, die es ab ca. 25 Euro zu kaufen gibt, oder eine kostenlose Smartphone-App.
AppTAN oder PushTAN erzeugt TANs in einer App auf dem Smartphone oder Tablet. Die App ist per Passwort, Gesichtserkennung oder Fingerabdruck geschützt und arbeitet separat von Banking-App beziehungsweise vom Browser. Deshalb gilt das Verfahren als sicher, obwohl alles auf einem Gerät läuft. So lassen sich Geldgeschäfte auch unterwegs erledigen, und man benötigt keinerlei Zusatzmodul.
BestSign kommt ganz ohne TAN aus und arbeitet stattdessen mit einer digitalen Signatur. Wie bei der App- oder PushTAN ist eine App erforderlich, in der jede Banktransaktion manuell bestätigt werden muss. Alternativ zur App lässt sich BestSign auch mit speziellen Zusatzgeräten von Seal One (ab 30 Euro) nutzen.
Android: Das sind die 10 häufigsten Banking-Trojaner
Wenn Sie das TAN-Verfahren wechseln müssen: So geht’s
Angesichts der ständigen Gefahren durch Phishing, Trojaner und Schadcode am PC sowie am Smartphone sollten bei Ihnen alle Alarmglocken klingeln, wenn E-Mails Änderungen beim TAN-Verfahren, beim „Sicherheitssystem“ oder Ähnlichem ankündigen: Die überwiegende Mehrzahl solcher Nachrichten sind Phishing-Versuche. Klicken Sie deshalb in solchen Mails niemals auf irgendwelche Links, und loggen Sie sich dort nicht mit Ihren Bankdaten ein!
Weil manche Geldinstitute ihre Kunden aus Kostengründen jedoch tatsächlich per Mail statt per Brief über neue TAN-Verfahren benachrichtigen, lassen Sie solche Ankündigungen andererseits nicht ganz unbeachtet, sondern überprüfen die vermeintliche Änderung per Google-Suche oder über Ihre Bank (Webseite, Anruf oder Filiale). Haben Sie sichergestellt, dass Ihre Bank tatsächlich das von Ihnen bislang verwendete TAN-Verfahren abschafft oder ändert, müssen Sie aktiv werden.
Informieren Sie sich im ersten Schritt über die zur Verfügung stehenden TAN-Alternativen, meist zeigt die Webseite dazu eine Übersicht und Informationen zu den einzelnen Methoden sowie zum Umstieg. Tendenziell ist der Einsatz eines echten Zusatzgeräts sicherer als die App-gestützten Methoden, die Kosten für die Hardware sind vergleichsweise gering und für das Plus an Sicherheit gut investiert. Im zweiten Schritt folgen Sie der Anleitung zum Umstieg, unter Umständen muss das neue Verfahren vor der ersten Benutzung erst aktiviert oder freigeschaltet werden. Anfangs ist das neue Verfahren zwar ungewohnt, in aller Regel aber wird man auch damit schnell vertraut – nur Mut also.
Ein Tipp zum Schluss: Statt im Browser können Sie Ihre Bankgeschäfte auch per Software am PC erledigen. Die Software greift über eine standardisierte Schnittstelle auf die IT-Infrastruktur Ihrer Bank zu, ist sicher und bietet mehr Funktionen als das Online-Banking im Browser.
Weitere Sicherheitstipps zum Online-Banking bieten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Stiftung Warentest .
Autor: Peter Stelzel-Morawietz, Redakteur, PC-WELT Print
Peter Stelzel-Morawietz bastelt gerne und schreibt bei der PC-Welt zu allen Themen rund um Windows, Software, Internet, Telekommunikation, Verbraucherschutz und Do-it-yourself. Kennt sich auch bei Energie, Photovoltaik und Co. bestens aus.