Neue Tan-Verfahren: Online-Banking wird sicherer – und teurer
Frankfurt . Geforderte Transaktionsnummer, kurz Tan, auf einer langen Liste suchen, in die Online-Banking-Maske eintragen, Tan von der Liste streichen: So laufen Transaktionen von Millionen Bankkunden bis heute ab. Zum Jahresende allerdings wird sich dies deutlich verändern. Allein die Sparkassen stellen bis Ende 2011 etwa neun Millionen Konten auf neue, sicherere Verfahren um. Chip- und SMS-Tan ersetzen dann bei allen Genossenschaftsbanken, Sparkassen und der Postbank das herkömmliche Autorisierungsverfahren via iTan-Liste. Kunden anderer Banken können freiwillig wechseln. Doch für so manchen hat die neu gewonnene Sicherheit ihren Preis. Während die alten iTan-Listen von den Banken kostenlos versendet wurden, bitten Geldinstitute Online-Nutzer nun zur Kasse.
Verbraucherverbände kritisieren die Informationspolitik der Banken
Für die Verbraucherschützer ist das inakzeptabel. Christian Pauli, Bankenexperte von der Verbraucherzentrale Bundesverband (VZBV), kritisiert, dass die zunehmende Nutzung von Online-Banking Personalkosten in den Filialen einspare „und die User dann auch noch selbst für die Sicherheit bezahlen müssen.“ Hierfür seinen eindeutig die Banken zuständig. Auch bei der hessischen Verbraucherzentrale drehen sich Anfragen zur neuen Tan meist um die Kosten. Beraterin Eva Raabe bemängelt, die Homepages vieler Banken seien unübersichtlich, die Kosten für neue Nummern oftmals „versteckt“. Der Kunde „weiß nicht, was auf ihn zukommt.“
Die Kosten unterscheiden sich nicht nur von Bank zu Bank, sondern auch nach Verfahren und sogar nach Kontomodell. Um mit Chip-Tan arbeiten zu können benötigt der Verbraucher einen sogenannten Tan-Generator. Die EC-Karte wird in das einem Taschenrechner ähnliche Plastikkästchen eingeführt. Der Kunde gibt die Überweisungsdaten an und der Generator spuckt einen Zahlencode für diese spezielle Transaktion aus. Ein potenzieller Hacker müsste somit nicht nur den Computer infizieren, sondern auch den Generator. Unter IT-Experten gilt dies momentan als unwahrscheinlich, das System generell als sicher. Je nach Tan-Generator muss der Bankkunde zwischen zehn und fünfzehn Euro zahlen, um sichere Transaktionen im Internet durchzuführen. Einige Volksbanken und Sparkassen stellen den Kunden den Generator kostenlos oder vergünstigt zur Verfügung. Das hängt vom Kontomodell ab. Was viele Verbraucher nicht wissen: Die Endgeräte erkennen die meisten EC-Karten. Damit ist pro Haushalt nur ein Generator nötig.
Bei der SMS- beziehungsweise mobilen Tan ist kein zusätzliches Gerät nötig. Der Kunde erhält die Überweisungsdaten und den dazugehörigen Zahlencode via SMS auf sein Handy, prüft alle Angaben und gibt die Tan in der Online-Banking-Maske ein – fertig. Wer die Kosten für die Kurzmitteilung trägt und wie hoch sie sind, ist ganz unterschiedlich. Die Sparkassen entscheiden laut Deutschem Sparkassen- und Giroverband (DSGV) selbst, ob sie die Kosten übernehmen oder den Bankkunden dafür zwischen sieben und zehn Cent pro SMS berechnen. Bei manchen Kontomodellen gibt es monatliche Frei-SMS. Ist das Kontingent aufgebraucht, muss der Kunde zahlen. Diese verschiedenen Möglichkeiten wenden auch die Genossenschaftsbanken an. Die Postbank hingegen kommt dem Anliegen der Verbraucherzentralen entgegen. Sie zahlt die SMS, egal welches Kontomodell der Kunde besitzt. „Es gehört zu unseren Versprechen, ein kostenloses Online-Banking anzubieten“, sagt Pressesprecher Jürgen Ebert. Auch die Hypovereinsbank nimmt keinen Cent von ihren Kunden. Die Deutsche Bank fordert für jede mobile Tan neun Cent. Die Commerzbank bietet bislang weder SMS- noch ChipTan überhaupt an.
Ihr iTan-Verfahren, ausgestattet „mit zusätzlichen Schutzmechanismen“,sei sicher. Dennoch testet das Institut, welches neue Verfahren zukünftig angeboten wird. Wann die iTans abgelöst werden, steht allerdings noch nicht fest.
Pauli vom VZBV fordert die flächendeckende Einführung der Chip- und SMS-Tan schon seit langem. „Andere Verfahren kann sich ein Geldinstitut gar nicht mehr leisten.“ Technisch sei vor allem die mobile Tan schon seit Jahren einsetzbar, trotzdem lassen Geldinstitute ihre Kunden weiterhin mit den unsicheren iTan-Listen hantieren.
Freiwillig stellen nur wenige Kunden auf die sicheren Verfahren um
Erst jetzt ist die verbindliche Einführung in vollem Gange. Freiwillig können die Kunden vieler Banken schon seit Jahren das Autorisierungsverfahren wechseln. Nur tut es kaum jemand. Das wissen Verbraucherzentralen und auch die Banken. Ebert und seine Kollegen von der Postbank haben bemerkt, „dass viele Kunden die Umstellung so lange hinauszögern, bis ihre iTan-Liste abgeschaltet wird“. Eine schnellere Einführung der innovativen Tans sei aber nicht machbar gewesen, heißt es bei der Postbank. Die Kunden müssten von der neuen Technik überzeugt werden. „Schließlich sind die Papierlisten seit Jahrzehnten bekannt und geliebt“, erläutert Ebert. Auch der DSGV und der Bundesverband der deutschen Volksbanken und Raiffeisenbanken argumentieren, die Kunden nicht überrumpeln zu wollen.
Wenn die eigene Bank weiterhin nur iTans anbietet, rät Verbraucherschützerin Raabe zu einem Tageslimit in Höhe von 1000 Euro und dem Sperren von Auslandsüberweisungen. Vorsicht ist aber auch beim Einsatz von Chip- und SMS-Tan geboten. Auch wenn sie sicherer als ältere Verfahren sind, warnen IT-Experten: Über kurz oder lang werden auch sie zum Angriffsziel krimineller Hacker werden.