Ab 14. September dürfen Banken Transaktionsnummern, kurz TAN, nicht mehr in gedruckter Form an ihre Kunden weiter geben. Die Verschlüsselung beim Onlinebanking wird durch eine EU-Richtlinie neu geregelt.
Warum gibt es bei der TAN eine neue EU-Richtlinie?
"Es hat sich einfach gezeigt, dass man bei den Sicherheitsverfahren nachrüsten muss. Das Onlinebanking muss zuverlässig und sicher sein. Und da ist vor allem wichtig, dass die Verfahren dynamisch sind. Die alten statischen TAN-Listen sind nicht mehr zeitgemäß, waren angreifbar, und insofern war die Regulierung da dringend notwendig."
Ein älteres dynamisches Verfahren ist die mobile TAN, die der Kunde zu einer Transaktion per SMS geschickt bekommt. Nach einer Meldung der RMV-Versicherung sind die Betrugsfälle beim SMS-TAN Verfahren in diesem Jahr sprunghaft angestiegen.
Welche Schwachstellen gibt es bei der SMS-TAN?
Dr. Julia Gerhards kennt die Masche mit dem SMS-TAN-Betrug:
"Erforderlich ist, dass zum einen der Rechner, auf dem ich das Onlinebanking mache, in irgendeiner Form kompromittiert ist, also Schadsoftware drauf ist. Zusätzlich wird auch noch dieser zweite Weg, nämlich die SMS an das mobile Endgerät, angegriffen. Zum Beispiel auch von Schadsoftware auf dem Mobiltelefon oder indem versucht wird, sich eine neue SIM-Karte zu beschaffen zu der Mobiltelefonnummer und dann einfach diese SMS abgegriffen wird."
- Die neue EU-Richtlinie fordert eine stärkere Authentifizierung des Nutzers.
- Zum Beispiel durch die EC-Karte und einen TAN-Generator, der über einen von der Bank gesendeten Flickercode die TAN-Nummer erzeugt.
- Ein solches Gerät gibt es bei der Bank oder im Fachhandel für 10 bis 30 Euro.
Was ist wichtig bei den neuen TAN-Verfahren?
Eine Alternative zum TAN-Generator ist das Smartphone mit der App der Bank. Hier gibt es verschiedene Authentifizierungswege, zum Beispiel die Photo-TAN.
Dr. Julia Gerhards von der Verbraucherzentrale Rheinland-Pfalz erklärt, wie es funktioniert::
"Ich kann das Smartphone davor halten, das geht jetzt ziemlich schnell. Schon hat es eingelesen und zeigt mir den Code an, den ich jetzt nur noch hier eingeben muss......Ich darf dann nicht das Banking auf dem gleichen Telefon machen, ohne besondere Sicherheitsvorkehrungen zu treffen."
Diese Zwei-Wege-Authentifizierung geschieht etwa durch:
- ein Passwort,
- einen Benutzernamen,
- eine Bankkarte,
- ein Smartphone,
- biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung.
Wie können Nutzer selbst zu einem sicheren Onlinebanking beitragen?
Dr. Julia Gerhards betont, wie wichtig der sorgsame Umgang mit den Endgeräten ist:
"Wichtig ist natürlich, die Geräte auch immer auf dem neuesten Stand zu halten. Wenn es Updates gibt, die dann auch einzuspielen. Ich brauche also einen Virenschutz, eine Firewall und ich muss besonders sorgfältig mit meinem Smartphone umgehen, wenn ich damit Bankgeschäfte tätige. Also idealerweise: Das Gerät ist verschlüsselt."