Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Onlinebanking Banken und Sparkassen ändern ihre Sicherheitsverfahren fürs Onlinebanking

Neben den Tan-Listen auf Papier schaffen einige Banken auch das SMS-Tan-Verfahren ab. Kunden müssen sich im Onlinebanking an neue Technologien gewöhnen.
2 Kommentare
Einige Banken wollen es abschaffen. Quelle: Photothek/Getty Images
mTan-Verfahren

Einige Banken wollen es abschaffen.

(Foto: Photothek/Getty Images)

Frankfurt Spätestens ab Mitte September müssen sich viele Bankkunden an ein neues Sicherheitsverfahren beim Onlinebanking gewöhnen. Die Papierlisten, auf denen sie bisher die passende iTan gesucht haben, sind dann Geschichte.

Doch damit nicht genug: Einige Banken und Sparkassen läuten auch gleich das Ende der SMS-Tan ein, die auch als mTan oder mobile Tan bekannt ist.

Lesen Sie auch:

Kunden sollten sich jetzt schnell für ein alternatives Verfahren entscheiden. Wer kein Smartphone hat, muss dabei mit zusätzlichen Kosten rechnen.

Warum wird die iTan abgeschafft?

Die Papierlisten mit durchnummerierten Transaktionsnummern stammen noch aus den Anfängen des Onlinebankings. Sicherheitsexperten raten schon länger davon ab. Manche Geldhäuser hatten das Verfahren deshalb bereits früher eingestellt – die Genossenschaftsbanken beispielsweise bereits im Jahr 2012.

Das endgültige Aus bei allen Banken und Sparkassen kommt jetzt durch die europäische Zahlungsdiensterichtlinie PSD2, die ab dem 14. September ihre volle Wirkung entfaltet und eine sogenannte „starke Kundenauthentifizierung“ vorschreibt. Damit gilt: Tan- oder sonstige Sicherheitsverfahren müssen mit der individuellen Zahlung verknüpft sein. Das ist bei der Tan-Liste nicht möglich. Ein Betrüger, der sich zugleich Zugriff zum Onlinebanking verschafft, könnte mit einer Tan beliebige Zahlungen auslösen.

Welche Geldhäuser schaffen die SMS-Tan ab?

Die Tage der SMS-Tan scheinen gezählt. Etliche Volks- und Raiffeisenbanken wollen das Verfahren bald beenden oder bieten es schon nicht mehr an. In der genossenschaftlichen Finanzgruppe gehen viele sogar davon aus, dass ihr zentraler IT-Dienstleister die SMS-Tan bald auslaufen lässt. Auch einzelne Sparkassen nehmen Abstand von der SMS-Tan. Die Berliner Sparkasse, eine der größten Sparkassen in Deutschland, will das SMS-Tan-Verfahren bis Ende Oktober schrittweise einstellen.

Bei der Postbank wird das mobileTan-Verfahren zum 11. August für Privatkunden deaktiviert. Bei ihrem Mutterkonzern Deutsche Bank sowie der Commerzbank ist die Einstellung der mTan nach Angabe ihrer Sprecher dagegen bisher kein Thema. Bei den Direktbanken gibt es ebenfalls unterschiedliche Strategien: Während die DKB das SMS-Tan-Verfahren noch nie angeboten hat, will es die Consorsbank spätestens bis Jahresende – nicht aber vor Ende Oktober – einstellen. Die ING bewirbt das Verfahren derweil noch.

Was ist das Problem bei der SMS-Tan?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit Jahren vor Sicherheitsrisiken. Auch der genossenschaftliche Versicherer R+V wies kürzlich auf einen „rasanten“ Anstieg von Betrug im Onlinebanking und Missbrauch des mTan-Verfahrens hin. Ein möglicher Angriffspunkt: Betrüger könnten beim Mobilfunkanbieter des Bankkunden eine neue Sim-Karte anfordern und so an die SMS-Tan gelangen.

Ein weiteres Argument gegen das Verfahren sind die SMS-Kosten. Diese dürfen die Institute nur dann auf die Kunden abwälzen, wenn auf eine SMS eine Zahlung folgt. Ab Mitte September gilt aber noch eine weitere neue Regel: Schon beim Log-in ins Onlinebanking muss ein zusätzliches Sicherheitsverfahren zum Einsatz kommen. Müsste eine Bank ihren Kunden dann jedes Mal eine SMS schicken, würde es schnell teuer.

Was sollten Kunden jetzt tun?

Viele Kunden stehen nun vor der Wahl, ob sie zu einem App-basierten Sicherheitsverfahren auf dem Smartphone wechseln oder ein zusätzliches Gerät wie einen Tan-Generator verwenden. Letzteres müssen sie häufig selbst kaufen, die Preise liegen je nach Modell zwischen zehn und 30 Euro.

Stellt eine Bank neben dem iTan- auch das mTan-Verfahren ein, bleibt Kunden ohne Smartphone nur der Kauf eines Tan-Generators übrig. „Juristisch wird der Kunde dagegen nicht vorgehen können“, sagt David Riechmann, Finanzexperte der Verbraucherzentrale NRW. Es bestehe kein gesetzlicher Anspruch auf ein komplett kostenfreies Konto. „Wenn Kunden mit den angebotenen Verfahren ihrer Bank nicht zufrieden sind, bleibt ihnen nur der Wechsel zu einer anderen Bank.“

Wie sicher sind die Verfahren?

Viele Geldhäuser bewerben aktuell ihre App-Lösungen. Sie seien für die Kunden besonders sicher und zugleich bequem. Vincent Haupert, Experte für IT-Sicherheit, empfiehlt jedoch: „Wer auf Nummer sicher gehen will, sollte zwei verschiedene Geräte nutzen.“ Kunden sollten also entweder das Onlinebanking auf dem Computer aufrufen und die Zahlung über eine App oder einen Tan-Generator autorisieren. Oder sie nutzen die Banking-App auf ihrem Smartphone und geben die Zahlung per Tan-Generator frei.

Komme nur ein Gerät mit zwei Apps zum Einsatz, steige das Risiko für Manipulationen: „Über einen Isolationsmechanismus des Smartphone-Betriebssystems kann grundsätzlich sichergestellt werden, dass Apps nicht ungewollt miteinander kommunizieren“, sagt Haupert. „Insbesondere Android-Geräte bleiben aber lange verwundbar, da die unterschiedlichen Hersteller Sicherheitslücken langsam oder gar nicht schließen.“

Auch das BSI empfiehlt den Einsatz zweier Geräte. Die Geldhäuser selbst machen solche Einschränkungen nicht.

Welche App-Verfahren gibt es?

Die gängigsten Verfahren sind Push-Tan und Photo-Tan. In beiden Fällen müssen Kunden eine zusätzliche App auf ihrem Smartphone installieren. Bei der Push-Tan bereiten Kunden die Überweisung in ihrer Banking-App oder im Onlinebanking-Portal per Computer vor, im Anschluss öffnet sich teils automatisch die Push-Tan-App. Dort können sie die Überweisungsdaten kontrollieren. Nutzen Kunden die Banking-App, genügt oft ein Klick auf „Freigeben“. Wer die Überweisung am Computer vorbereitet hat, muss dort die Tan eingeben.

Beim Photo-Tan-Verfahren gibt es verschiedene Varianten. Wer eine Überweisung per Computer vorbereitet, muss mit dem Smartphone – oder einem speziellen kostenpflichtigen Lesegerät – ein Quadrat mit bunten Pixeln auf dem Computerbildschirm fotografieren. Beim Banking per Smartphone entfällt das Fotografieren, und die Informationen werden im Hintergrund zwischen den Apps getauscht. In den Details unterscheiden sich die Abläufe je nach Bank.

Seltener ist das QR-Tan-Verfahren. Statt eines farbigen Quadrats kommt dabei ein schwarz-weißer QR-Code zum Einsatz.

Wie funktioniert der Tan-Generator?

Als besonders sicher gilt das Chip-Tan-Verfahren. Dafür benötigen Kunden einen Tan-Generator. Je nach Gerät müssen sie eine Kontrollnummer und einen Teil der Transaktionsdaten – etwa die Kontonummer – von Hand in den Tan-Generator eingeben.

In einer komfortableren Variante wird mit dem Gerät beispielsweise ein sogenannter Flickercode oder QR-Code vom Computerbildschirm gescannt. Über das Display des Generators können Nutzer die Daten nochmals prüfen und geben die angezeigte Tan dann im Onlinebanking ein. Haupert bezeichnet dieses Verfahren als sehr sicher. „Angreifer müssten sich nicht nur Zugriff zum Onlinebanking verschaffen, sondern auch noch in Besitz der Girocard gelangen“, sagt er.

Wie funktioniert das Signaturverfahren?

Eine weitere Alternative sind Verfahren, bei denen die Autorisierung mittels sogenannter starker digitaler Signatur erfolgt. Diese funktionieren sowohl mit Zusatzgeräten als auch mit Apps. So setzt etwa die Postbank auf das sogenannte BestSign-Verfahren, hinter dem die Technologie des IT-Dienstleisters Seal One steckt. Kunden können Aufträge entweder über ein Gerät des Anbieters oder über eine entsprechende App der Postbank freigeben. In der App kann die Bestätigung per Passwort, Gesichtserkennung oder Fingerabdruck erfolgen. Sobald der Kunde die Transaktion bestätigt hat, wird im Hintergrund die digitale Signatur an seine Bank geschickt.

Welche anderen Varianten gibt es?

Die Smartphonebank N26 hat bei Überweisungen bisher ganz auf ein eigenständiges Sicherheitsverfahren in Form einer Zusatz-App oder Ähnlichem verzichtet. Wer in der Smartphone-App eine Überweisung freigeben möchte, muss dafür nur ein selbst gewähltes Passwort eingeben. Nach Angaben einer Sprecherin sei das PSD2-konform, da die App mit dem Smartphone verknüpft sei. Zudem werde im Hintergrund für jede Transaktion ein sogenanntes Zertifikat erzeugt.

Beim Login werde die Bank künftig aber auf ein zweistufiges Verfahren umstellen. Nach der gewohnten Eingabe des Passworts, müsse der Kunde zusätzlich eine Push-Nachricht auf seinem mit dem Konto verknüpften Smartphone bestätigen, so die N26-Sprecherin.

Auch die Direktbank ING bewirbt eine Smartphone-App, in der ein Freigabeverfahren integriert ist. Eine Überweisung geben Kunden in der „Banking-to-go-App“ mit einer PIN oder per Fingerabdruck frei.

Was passiert bei nicht autorisierten Transaktionen?

Viele Banken versprechen ihren Kunden, für etwaige Schäden durch nicht autorisierte Transaktionen aufzukommen. Das wird in der Regel an die Bedingung geknüpft, dass die Kunden nicht vorsätzlich gehandelt, die Bank sofort informiert und Strafanzeige bei der Polizei gestellt haben.

„Tatsächlich sind die Banken zu dieser Erstattung verpflichtet“, sagt Riechmann. „Dies gilt auch dann, wenn der Kunde einfach fahrlässig war, dann haftet er mit maximal 50 Euro.“ Bei grober Fahrlässigkeit müsse der Kunde den gesamten Schaden ersetzen. Allerdings: Um solche Schadensersatzansprüche gegenüber einem Kunden geltend zu machen, muss eine Bank dessen Fehlverhalten beweisen.

Wie viele Kunden nutzen Online-Banking?

Bankgeschäfte per Onlinebanking zu erledigen, wird immer beliebter. Laut einer Umfrage des Digitalverbands Bitkom machten das zuletzt schon 70 Prozent der Deutschen ab 16 Jahren. Ein Jahr zuvor waren es noch 62 Prozent. Besonders beliebt ist Onlinebanking bei Kunden im Alter zwischen 30 und 49 Jahren. Von ihnen nutzen 93 Prozent das Verfahren.

Welche Tan-Verfahren sind aktuell beliebt?

Kunden der bundesweit knapp 400 Sparkassen nutzen nach Angaben ihres Spitzenverbandes DSGV zu 50 Prozent das Chip-Tan-Verfahren mit Tan-Generator. 25 Prozent der Überweisungen laufen über die Tan-App (Push-Tan) und 25 Prozent über SMS-Tan. Andere Banken scheuen sich vor so konkreten Angaben zum Nutzungsverhalten ihrer Kunden. Bei der Deutschen Bank heißt es immerhin, das Photo-Tan-Verfahren sei bei den Kunden mit Abstand das beliebteste.

Mehr: Die neue Richtlinie PSD2 soll mehr Schutz im Netz bieten. Was Verbraucher darüber wissen sollten.

Finance Briefing
Startseite

Mehr zu: Onlinebanking - Banken und Sparkassen ändern ihre Sicherheitsverfahren fürs Onlinebanking

2 Kommentare zu "Onlinebanking: Banken und Sparkassen ändern ihre Sicherheitsverfahren fürs Onlinebanking"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Wo ist das Problem ?

  • Beitrag von der Redaktion gelöscht. Bitte achten Sie auf unsere Netiquette: „Kommentare sind keine Werbeflächen“ http://www.handelsblatt.com/netiquette

Serviceangebote