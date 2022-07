Frankfurt Das endgültige Aus der SMS-Tan als Sicherheitsverfahren im Onlinebanking zieht sich bei den Volks- und Raiffeisenbanken etwas länger hin als angekündigt. Eigentlich sollte das Verfahren bis Mitte des Jahres auslaufen. Nun wurde der Abschalttermin auf Ende September verschoben. Das erklärte der genossenschaftliche IT-Dienstleister Atruvia auf Anfrage.

Als Grund für die Verschiebung des Abschalttermins nennt Atruvia „gewisse Sonderkonstellationen“ bei einigen Kunden, die noch auf eine mobile Tan-Nutzung angewiesen seien. Dabei gehe es um Nutzerinnen und Nutzer mit Huawei-Geräten und bestimmte Firmenkunden. „Um Banken für die Umstellung dieser Kunden mehr Zeit einzuräumen, wurde die Abschaltung auf Ende September verschoben.“

Bis zum Abschalttermin der mobilen Tan, auch SMS-Tan genannt, am 30. September können Banken laut Atruvia individuell entscheiden, ob sie das Verfahren noch einsetzen wollen. Im Juli registrierte Atruvia noch rund 600.000 Nutzerinnen und Nutzer der SMS-Tan. Davon seien aber viele inaktiv. Ende 2021 waren es noch 1,7 Millionen.

Grundsätzlich halten die Volks- und Raiffeisenbanken am Aus der SMS-Tan fest. Atruvia verwies jüngst auf Sicherheitsbedenken, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon länger äußert. „Tans, die per SMS versendet werden, können theoretisch durch Dritte abgefangen werden. Zudem besteht bei einem Diebstahl des Handys die Möglichkeit, dass das Tan-Verfahren recht einfach genutzt werden kann“, erklärte Atruvia im Februar dazu.

Die Genossenschaftsbanken führen derzeit ein neues App-basiertes Verfahren, „VR Secure-Go plus“, ein, das mittels Direktfreigabe ohne extra Tan-Eingabe funktioniert und etwa 3,6 Millionen Nutzer zählt. Es folgt auf das bisherige App-Verfahren „VR Secure-Go“ mit zuletzt noch 2,7 Millionen Nutzern.

Auch Sparkassen verschieben Ende von SMS-Tan

Auch die Sparkassen dabei, sich von der SMS-Tan zu verabschieden – und auch bei ihnen kommt das komplette Aus etwas später als der IT-Dienstleister Finanz Informatik (FI) vor einigen Monaten avisiert hatte.

Der Deutsche Sparkassen- und Giroverband (DSGV) erklärte auf Anfrage, der Schritt solle noch dieses Jahr geschehen. Wann genau einzelne Sparkassen das SMS-Tan-Verfahren abschalten, bleibe ihnen überlassen. Laut FI hatte der DSGV ursprünglich empfohlen, die Umstellung bis Mitte des Jahres durchzuführen.

Zuletzt hätten weniger als 20 der insgesamt gut 360 Sparkassen noch das Verfahren angeboten, die FI. Im Juni habe es rund 200.000 Nutzerinnen und Nutzer gegeben. Anfang des Jahres waren es 800.000.

Push-Tan gilt als das gängigste Verfahren

Die gängigsten Verfahren sind Push-Tan – die „S-Push-Tan-App“ der Sparkassen ist das Pendant zu „VR Secure-Go plus“ der Genossenschaftsbanken – und Photo-Tan. In beiden Fällen müssen Kunden eine zusätzliche App auf ihrem Smartphone installieren.

Bei der Push-Tan bereiten Kunden die Überweisung in ihrer Banking-App oder im Onlinebanking-Portal per Computer vor, im Anschluss öffnen sie die entsprechende App per Passwort oder Gesichtserkennung. Dort können sie Überweisungsdaten kontrollieren und freigeben.

Beim Photo-Tan-Verfahren gibt es verschiedene Varianten. Wer eine Überweisung per Computer vorbereitet, muss mit dem Smartphone – oder einem speziellen Lesegerät – ein Quadrat mit bunten Pixeln auf dem Computerbildschirm fotografieren. Beim Banking per Smartphone entfällt das Fotografieren – die Informationen werden im Hintergrund zwischen den Apps getauscht. In den Details unterscheiden sich die Abläufe je nach Bank.

Als besonders sicher gilt das Chip-Tan-Verfahren. Dafür benötigen Kunden einen sogenannten Tan-Generator. Je nach Gerät müssen sie eine Kontrollnummer und einen Teil der Transaktionsdaten – etwa die Kontonummer – von Hand in den Tan-Generator eingeben.

