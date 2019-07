Die TAN-Liste auf Papier hat ausgedient: Ab Herbst müssen Banken höhere Sicherheitsstandards erfüllen. Die wichtigsten Änderungen.

Die zweite europäische Zahlungsdiensterichtlinie „PSD2“ tritt zwar erst am 14. September in Kraft, schon jetzt setzen aber viele Banken die neuen Vorgaben für das Online-Banking um. Drei Änderungen sind für die meisten dabei besonders wichtig:

In Zukunft sind unsere Online-Konten quasi doppelt gesichert, schon beim Einloggen reichen deswegen Benutzername und Passwort nicht mehr aus. Die Zwei-Faktor-Authentifizierung wird damit zum Standard. TAN-Listen auf Papier halten den neuen Sicherheitsstandards auch nicht mehr Stand. Überweisungen können nur noch mit dem Smartphone oder TAN-Generator freigegeben werden. Mit dem „Konto-Blick“ müssen Banken auch externen Dienstleistern Einblick in das Konto ihrer Kunden geben – mit unserer Zustimmung natürlich.

Online-Banking-Login per Fingerabdruck

Schon das Anmelden auf der Webseite unserer Banken wird komplizierter. Bisher reicht einigen Banken der Login mit Benutzername und Passwort. In Zukunft müssen wir uns aber doppelt identifizieren – zum Beispiel mit einer TAN-Nummer. Für die App auf dem Smartphone können aber auch der Fingerabdruck oder die Gesichtserkennung genutzt werden.

Zum Entsperren von Online-Banking-Apps reicht in den meisten Fällen wohl der Fingerabdruck. dpa Bildfunk picture alliance / Kay Nietfeld / dpa

Damit es nicht zu kompliziert wird, muss dieser Aufwand aber nicht jedes Mal sein. Es reicht, wenn die Bank diesen zweiten Faktor maximal alle 90 Tage abfragt.

Diese Zwei-Faktor-Authentifizierung (2FA) beim Einloggen ist am Anfang zwar gewöhnungsbedürftig, bringt aber deutlich mehr Sicherheit. Sollte jemand unseren Benutzernamen oder das Passwort geklaut haben, bringt ihm das wenig, weil er zusätzlich unser Smartphone, unsere EC-Karte oder unseren Fingerabdruck braucht. Auch für E-Mail-Konten oder Social-Media-Profile ist die 2FA empfehlenswert.

Die TAN-Liste hat ausgedient

Wer heute noch seine Überweisungen mit TANs (TransAktionsNummer) von einer ausgedruckten Papierliste freigibt, der muss sich umstellen. Das sogenannte iTAN-Verfahren ist einfach nicht mehr sicher genug. Dafür haben Banken bisher Listen mit zum Beispiel 100 nummerierten TAN-Nummern verschickt, von denen dann eine konkrete beim Online-Banking abgefragt wurden. Bis die komplette Liste abgearbeitet war, blieben aber alle weiteren TAN-Nummern gültig.

Das chipTAN-Verfahren gilt als das sicherste beim Onlinebanking. dpa Bildfunk picture alliance / David Ebener / dpa

Neue Verfahren müssen hingegen sicherstellen, dass TAN-Nummern zum Beispiel spezifisch für eine konkrete Überweisung generiert werden und nach wenigen Minuten ungültig werden. Die großen deutschen Banken haben dafür vier unterschiedliche Verfahren im Einsatz, die entweder mit dem Smartphone oder einem separaten TAN-Generator funktionieren:

chipTAN: Hierfür wird die TAN mit einem Generator und der eigenen EC-Karte generiert. Die Generatoren sind meist kleine Lesegräte in Taschenrechnergröße. ChipTAN gilt als das sicherste Verfahren, setzt aber natürlich voraus, dass der kleine Generator überall mit dabei ist, wo man ihn gerade braucht. mTAN/smsTAN: Dabei wird die TAN-Nummer per SMS aufs Handy geschickt. Obwohl Sicherheitsexperten ebenfalls vor mTAN warnen, ist das Verfahren bei den meisten großen Banken noch im Einsatz. Eigene TAN-App: Neben der App zum Online-Banking bieten einige Banken weitere Apps an, die ausschließlich frische TAN-Nummern generieren. Das Verfahren ist deshalb sicher, weil jeder Kunde die App nur auf einem Smartphone installieren kann. photoTAN: Dieses Verfahren ist eine Art Mischung aus TAN-Generator und TAN-App. Bei einer Überweisung wird beispielsweise ein buntes Muster generiert. Dieses Muster wird dann mit der photoTAN-App fotografiert und das Smartphone generiert daraus die richtige TAN-Nummer. Auch das photoTAN-Verfahren wurde allerdings bereits gehackt, der Angriff ist allerdings schwierig.

Bei der photoTAN wird der TAN-Code mittels eines bunten Musters generiert. dpa Bildfunk dpa/picture-alliance

Die TAN-Verfahren im Überblick

Die meisten deutschen Banken bieten nicht alle TAN-Verfahren an, sondern lediglich zwei oder drei davon. Hier sind die größten Banken im Überblick:

Verfahren / Bank chipTAN smsTAN photoTAN Eigene TAN-App Commerzbank x x Deutsche Bank x x DKB x x ING x x x Postbank x x PSD BANK x x (x)* x Sparda-Bank x x Sparkassen x x x Volksbanken Raiffeisenbanken x x x

Quelle: Eigene Recherche

*) Die PSD-Bank bietet das photoTAN-Verfahren bisher nur mit einem speziellen TAN-Generator, nicht via App an.

Neuer Einblick für Service-Apps

Mit PSD2 sind die Banken auch zum sogenannten „Konto-Blick“ verpflichtet. Das heißt, sie müssen externen Anbietern Zugriff auf unsere Konten geben, wenn wir Kunden das erlauben. Das können zum Beispiel die Banken untereinander sein, sodass Kunden, die Konten bei mehreren Banken haben, diese in Zukunft in nur einer App verwalten können. Auch Kreditanbietern kann so Zugriff gewährt werden, die ansonsten viele Unterlagen wie Kontoauszüge per Post anfordern würden.

Natürlich dürfen all diese Anbieter nur Zugriff auf unsere Konten bekommen, wenn wir das explizit erlauben. Auch welche Kontodaten freigegeben werden, dürfen wir Kunden entscheiden. Außerdem unterliegen die Dienstleister ab sofort der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).