Was sind die Alternativen? - Onlinebanking: Abschied von der iTAN-Liste - NOZ
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
in Kooperation mit dem Finanzportal biallo.de
Von Max Geißler 17/2019
Onlinebanking: Abschied von der iTAN-Liste
Was sind die Alternativen?
Für Bankkunden brechen neue Zeiten an. Hintergrund: Die TAN ist eine Art Unter-
Ab dem 14. September 2019 können sie schrift, mit der Online-Überweisungen oder
keine Online-Überweisungen per iTAN- Daueraufträge via Internet final freigege-
Liste mehr tätigen. Alle Banken schaffen ben werden. Zur Sicherheit der Bankge-
die Transaktionsnummern auf Papier ab. schäfte gilt jede TAN immer nur für einen
Grund dafür ist die seit Januar 2018 gel- bestimmten Auftrag. Das bedeutet: Sie
tende europäische Zahlungsdiensterichtli- brauchen stets Nachschub an neuen
nie (PSD2). Sie schreibt vor, dass die für Transaktionsnummern.
das Onlinebanking notwendigen Transak-
tionsnummern künftig dynamisch generiert Diesen Nachschub lieferte bislang die
werden müssen, was mit einer Zahlenfol- klassische iTAN-Liste, auf der 100 Trans-
ge auf Papier nicht möglich ist. aktions-Nummern zur Verfügung standen.
Direktbanken wie DKB, ING und Comdi-
Viele Banken verzichten bereits seit eini- rect haben sie bis jetzt genauso im Ange-
ger Zeit auf die als unsicher geltende Zer- bot wie Deutsche Bank und Commerz-
tifizierung – beispielsweise die Postbank, bank. Doch die per Post versendeten Lis-
die Sparkassen sowie die Volks- und Raif- ten haben einen Haken: Sie können leicht
feisenbanken. Die Consorsbank hat die in falsche Hände geraten.
iTAN-Liste aus Sicherheitsgründen gar
nicht erst eingeführt. Die übrigen Banken Auf Druck der EU müssen alle Banken die
informieren derzeit ihre Kunden über das TAN-Zettel spätestens im September 2019
bevorstehende Ende der iTAN-Liste und aus dem Verkehr ziehen und durch neue,
raten ihnen zum Wechsel in ein neues sicherere Zertifizierungs-Verfahren erset-
Verfahren. Comdirect und Deutsche Bank zen. Zahlreiche Alternativen stehen bereit,
legen dazu ihren Kunden das PhotoTAN- doch jedes hat Vor- und Nachteile. Der
Verfahren ans Herz, die DKB favorisiert folgende Beitrag stellt die verschiedenen
die Erzeugung von Transaktionsnummern Freischaltmethoden und ihre Funktions-
mittels ihrer TAN2go-App. weisen vor.
1. SMS- oder Mobile-TAN
Zu den ältesten Zertifizierungs-Verfahren fons registrieren Sie bei ihrer Bank. Täti-
zählt die SMS-TAN. Oft auch als Mobil- gen Sie eine Online-Überweisung, erhal-
TAN oder m-TAN bezeichnet, ist sie bis ten Sie von der Bank innerhalb weniger
heute weit verbreitet. Alles, was Sie dazu Sekunden eine TAN auf ihr Smartphon
benötigen, ist ein Computer oder Tablet geschickt. Mit dieser Nummer bestätigen
sowie ein klassisches Mobiltelefon oder Sie die Transaktion und schließen den
Smartphone. Die Nummer Ihres Mobiltele- Überweisungsvorgang ab.
www.biallo.deSeite 2
geklagt, setzte sich jedoch 2017
vor dem Bundesgerichtshof nicht
Das Problem: Wenn Sie nur ein durch.
Gerät für ihre Bankgeschäfte und
die Übertragung der SMS-TAN Vorteil: Bankgeschäfte von unter-
nutzen, etwa das Smartphone, wegs, mit Tablet und Handy, sind
dann laufen Sie Gefahr, von Ha- unproblematisch. Bei Nutzung un-
ckern ausgespäht zu werden. Die terschiedlicher Empfangsgeräte
EU-Richtlinie fordert deshalb eine sind Bankkunden zuverlässig vor
Zwei-Kanal-Trennung, also die kriminellen Angriffen geschützt. Die
Bank-Transaktion und den TAN- SMS enthält Details zum Auftrag,
Empfang auf zwei verschiedenen damit Kunden sie gegenchecken
Geräten. Nutzen Sie daher immer können, etwa Teile der Konto-
ein separates Handy für den SMS- nummer des Empfängers. Stimmen
Empfang. die Angaben mit denen in der
Überweisungsmaske überein, kön-
Nachteil: Fast alle Banken be- nen Sie sicher sein, dass Ihre
rechnen inzwischen Geld für den Überweisung korrekt und sicher
Versand der SMS. In der Regel fal- versendet wird. Außerdem gilt die
len neun Cent pro SMS an. Der TAN-Nummer zeitlich begrenzt und
Verbraucherzentrale Bundesver- nur für den einen speziellen Auf-
band hatte gegen diese Gebühr trag.
2. Push-TAN-Verfahren
Die Nutzung unterschiedlicher Endgeräte king mit nur einem Endgerät sicher. Der
für das Onlinebanking, wie bei der SMS- TÜV Saarland, der das Verfahren einer
TAN gefordert, widerspricht allerdings dem umfangreichen Prüfung unterzog, hatte an
modernen Mobilbanking via Smartphone. dieser Methode nichts auszusetzen.
Um das Problem zu lösen, verwenden Um eine push-TAN nutzen zu können,
viele Banken inzwischen zwei unterschied- benötigt man ein Girokonto, das für das
liche Apps. Diese gewährleisten die Tren- Onlinebanking freigeschaltet ist. Mit die-
nung von Bankvorgang und TAN- sem meldet man sich für das push-TAN-
Erzeugung bei der Nutzung ein und des- Verfahren bei seiner Bank an und erhält
selben Endgeräts. von ihr die Zugangsdaten für die App. Die
App selbst laden Sie im App-Store von
Ein Verfahren hierfür ist das sogenannte Apple oder im Play Store von Google kos-
Push-TAN-Verfahren, das zum Beispiel tenlos auf Ihr Mobiltelefon oder Tablet
bei Sparkassen, Sparda-Banken, Volks- herunter.
und Raiffeisenbanken sowie der Direkt-
bank DKB zum Einsatz kommt. Die Na- Anschließend gibt man die Überweisungs-
men für das Verfahren variieren je nach daten in die Onlinebanking-Maske ein und
Bank. So gibt es zum Beispiel das VR- sendet diese ab. Jetzt wechselt man zur
SecureGo-, das SpardaSecure-Go- und Push-TAN-App, gibt sein Passwort ein und
bei der DKB das Tan2go-Verfahren. prüft die angezeigten Auftragsdaten.
Gleichzeitig generiert die App eine TAN,
Funktionsweise: die man in das Onlinebanking-Formular
eingibt. Nun können Sie Ihre Überweisung
Beim Push-TAN-Verfahren erhalten Sie freigeben.
die TAN über eine spezielle App direkt auf
das Tablet oder Smartphone gesendet. Risiko: Rein theoretisch kann jede
Banking-App und TAN-App arbeiten un- App gehackt werden. Da bei der Push-
abhängig voneinander und sind nach neu- TAN allerdings zwei Apps mit unter-
estem Stand der Technik kryptographisch schiedlichen Passwörtern unabhängig
verschlüsselt. Dadurch ist das Mobilban- voneinander arbeiten, ist dies für An-
www.biallo.deSeite 3
greifer ziemlich schwierig. Smartphone kein Problem. Die Nutzung
unterschiedlicher Empfangsgeräte ist ei-
Vorteil: Das Verfahren verursacht keine nen Tick sicherer als die Transaktion mit
Kosten und ist sehr flexibel. Bankgeschäf- nur einem Gerät.
te von unterwegs sind mit Tablet und
3. Chip- oder Smart-TAN
Als noch sicherer als das Push-TAN- Strich-Code-Grafik. Stecken Sie nun Ihre
Verfahren gilt die Chip- oder Smart-TAN: Girocard in den TAN-Generator und halten
Hier wird die TAN durch einen externen Sie das Gerät vor den Bildschirm. Der Ge-
Generator in Verbindung mit der eigenen nerator scannt den Strich-Code, übersetzt
Girokarte erzeugt. Dazu muss das Giro- die Daten und zeigt sie leserlich an. Zeit-
konto für das Onlinebanking freigeschaltet gleich wird eine TAN generiert. Sind alle
sein, außerdem benötigen Sie eine Giro- Daten korrekt wiedergegeben, geben Sie
card und einen TAN-Generator. Diesen den Auftrag frei.
bekommen Sie bei Ihrer Bank. Meist kos-
ten die Geräte Geld. Einfache Generato- Vorteil: „Der TAN-Generator sorgt für
ren gibt es ab etwa zehn Euro, teure, mit Kanaltrennung und kann weder aus-
umfangreichen Funktionen ausgestatte spioniert noch durch Trojaner manipu-
kosten bis zu 60 Euro. liert werden, da er nicht mit dem Inter-
net verbunden ist“, sagt Dirk Althoff
Tipp: Kunden der Consorsbank erhal- Leiter Unternehmenskommunikation
ten den TAN-Generator kostenlos. Consorsbank. Die Chip-TAN-Methode
gilt daher als sehr sicher.
Funktionsweise:
Nachteil: Für Bankkunden ist das Ver-
Lassen Sie ihr Konto für das Chip-TAN- fahren etwas umständlich, da sie im-
Verfahren freischalten und geben Sie die mer den TAN-Generator benötigen
Überweisungsdaten wie gewohnt in die und mit ihrer Girocard aktivieren müs-
Onlinebanking-Maske ein. Anschließend sen.
schicken Sie den Auftrag ab. Jetzt öffnet
sich am Bildschirm ein Fenster mit einer
Diese TAN-Verfahren bieten Banken
Anbieter/Bank SMS-TAN Push-TAN TAN-Generator, Photo-
Chip-TAN TAN
Sparkassen x x x
Sparda Banken x x x
PSD Banken x x x x
Volks- und Raif- x
x x x
feisenbanken
Commerzbank x x
Deutsche Bank x x x
1822 Direkt x x x
ING x x
Consorsbank x x
Comdirect x x
Postbank x x x
Netbank x x
Quelle: biallo.de, Angaben der Anbieter, Stand: April 2019
www.biallo.deSeite 4
4. Photo-TAN
Beim Photo-TAN-Verfahren wird neben das Bild. Bei diesem Vorgang werden die
dem Computer oder Tablet für das On- Daten entschlüsselt und die TAN sowie
linebanking ein Smartphone mit einer so- die Auftragsdaten leserlich angezeigt.
genannten Photo-TAN-App oder ein spe- Überprüfen Sie dann die Daten auf Kor-
zielles Lesegerät zur Generierung der rektheit und bestätigen Sie den Auftrag im
TAN benötigt. Um das Verfahren zu nut- Onlinebanking.
zen, müssen Sie vorab auf dem Smart-
phone die kostenlose Photo-App Ihrer Sicherheit: Das photoTAN-Verfahren ist
Bank installieren und sich registrieren. Soll sehr sicher, wenn Sie die Grafik mit dem
das Banking nicht via Handy getätigt wer- Lesegerät scannen, weil dieses nicht mit
den, kann alternativ ein spezielles Lesege- dem Internet verbunden ist, also nicht
rät für den Computer zum Einsatz kom- ausspioniert werden kann. Etwas weniger
men. hoch ist die Sicherheit, wenn Sie das
Smartphone verwenden, denn die App
Geben Sie nun die Überweisungsdaten in könnte rein theoretisch gehackt werden.
die Onlinemaske ein und senden Sie den
Auftrag ab. Postwendend wird ein kleines Bisher ist es nur unter Laborbedingungen
farbiges Bild angezeigt, das aussieht wie gelungen, das Verfahren zu knacken.
ein Mosaik. Dieses Bild enthält die TAN- Wissenschaftler haben dazu den Compu-
Nummer und die Auftragsdaten in ver- ter mit einer Schadsoftware infiziert und
schlüsselter Form. konnten so unbemerkt eine Überweisung
auf ein anderes Konto umleiten und auch
Greifen Sie nun zu Ihrem Smartphone den Überweisungsbetrag ändern.
oder dem PC-Lesegerät und scannen Sie
5. BestSign
Ein spezielles Online- über die Postbank-App „Finanz-
Überweisungsverfahren bietet die Post- assistent“ zu nutzen.
bank an: das sogenannte BestSign-
Verfahren. Bei diesem TAN-losen Verfah- Funktionsweise:
ren benötigen Sie ein Zusatzgerät, das
aussieht wie ein USB-Stick. Dieser Stick Verbinden Sie den Stick per USB oder
nennt sich SealOne. Er wird durch die Bluetooth mit Ihrem Computer. Geben Sie
Eingabe einer Identifikationsnummer mit die Überweisungsdaten am PC ein, das
Ihrem Konto verknüpft. Sie bekommen Gerät zeigt diese noch mal an. Sind diese
dazu von der Postbank per Brief einen korrekt, bestätigen Sie die Daten per
Code, mit dem Sie das Gerät aktivieren. Knopfdruck. Die Freigabe kann auch per
Fingerabdruck, Gesichtserkennung Face-
Wenn Sie von einem anderen Tan- ID oder Passwort erfolgen. Eine sichtbare
Verfahren in das BestSign-Verfahren TAN wird bei dem Prozess nicht benötigt.
wechseln, können Sie das neue Verfahren
mit einer TAN des alten Verfahrens frei- Vorteil: Da die Transaktion über zwei
schalten. verschiedene Geräte läuft, gilt das Zer-
tifizierungs-Verfahren als besonders
Tipp: Es ist auch möglich, BestSign sicher.
www.biallo.deSeite 5
6. Multi-Banking-Apps
Online-Überweisungen und andere Fi- Face ID.
nanztransaktionen via Onlinebanking sind Jederzeit und von überall aus bequem
inzwischen bei vielen Banken auch mit den aktuellen Kontostand checken.
sogenannten Multi-Banking-Apps möglich. In der Vorschau Lastschriften, Dauer-
Bankkunden müssen die kostenfreien und Terminaufträge der kommenden
Apps auf ihr Tablet oder Smartphone her- Wochen anzeigen lassen. Damit weiß
unterladen und anschließend von der man schon heute, was morgen auf
Bank autorisieren und freischalten lassen. dem Konto passiert.
Bei der ING heißt das Verfahren „Banking Umsätze gezielt nach Betreff suchen.
to go“, bei 1822 und Comdirect einfach Rechnungen schnell und unkompliziert
„Banking-App“ oder „Finanz-App“. per Fotoüberweisung durchführen: Ein-
Kunden können mit einer solchen App ihre fach Rechnung abfotografieren – Inhal-
Bankgeschäfte weltweit mobil tätigen. So te werden automatisch übernommen.
ist es möglich, Geld zu überweisen, Dau- Geldautomatensuche nutzen und
eraufträge freizugeben und Wertpapiere Bankautomaten in der Nähe sowie Su-
zu kaufen beziehungsweise zu verkaufen. permärkte mit Bargeldservice finden.
Das Ganze funktioniert bequem per Fin- Mit Multibanking die eigenen Finanzen
gerabdruck, über Gesichtserkennung oder im Überblick behalten – auch die von
mit einer festgelegten Mobile-PIN. Um die anderen Banken.
Aufträge freizugeben, braucht man keine Online-Überweisungen tätigen ohne
iTANs, mTANs oder Chip-TANs mehr. TAN-Nummern
Mit Mobile-Brokerage jederzeit auf das
Das leisten moderne Multi-Banking- Wertpapierdepot zugreifen und Depot-
Apps: bestände sowie Wertpapierkurse ab-
fragen oder Wertpapiere kaufen und
Einfach einloggen mit Fingerprint, verkaufen.
Touch ID oder Gesichtserkennung Giro- und Kreditkarten sperren lassen.
7. Kleinst-Überweisungen ohne TAN-Nummer
Geldtransfers werden auch ohne Multi- heißt es dazu: „Entstehen Ihnen beim
Online-Banking-App immer unkomplizier- Onlinebanking Schäden durch un-
ter. Nachdem Online-Überweisungen zwi- rechtmäßige Transaktionen, dann er-
schen bankeigenen Konten schon länger setzen wir Ihnen den entsprechenden
ohne Transaktionsnummer möglich sind, Geldbetrag.“
klappt das inzwischen auch zwischen
Fremdkonten. Bei Online-Überweisungen So funktionieren Kleinst-
bis 30 Euro zwischen zwei verschiedenen Überweisungen ohne TAN-Nummer
Banken benötigen Kontoinhaber bei vielen
Geldhäusern keine Transaktionsnummer Geldtransfers ohne TAN sind sowohl via
mehr. Internetbanking am Computer möglich als
auch via App über das Smartphone. Für
Bei den Sparkassen, den Volks- und Raif- Kleinbetragszahlungen bis 30 Euro sind
feisenbanken sowie Genossenschaftsban- Transaktionsnummern nicht mehr nötig.
ken ist das Verfahren inzwischen weit ver- Die Anzahl der Online-Überweisungen ist
breitet, aber auch Direktbanken wie allerdings begrenzt. Maximal fünf solcher
Consors, ING oder Comdirect werben mit Zahlungen hintereinander bis zu einer Ge-
dem neuen Service. samtsumme von 100 Euro sind ohne Ein-
gabe einer TAN erlaubt.
Kein Risiko: Um die Kunden vom
TAN-freien Verfahren zu überzeugen, Beispiel: Sie tätigen nacheinander
geben die Geldhäuser weitreichende vier Online-Überweisungen mit jeweils
Sicherheitsversprechen. Bei Comdirect 30 Euro – macht insgesamt 120 Euro.
www.biallo.deSeite 6
Die vierte Zahlung erfordert damit eine Smartphone zu Smartphone schicken.
TAN, da sie den zulässigen Gesamt- Dafür muss lediglich die Mobilfunknummer
betrag von 100 Euro überschreitet. Tä- des Geldempfängers bekannt sein, außer-
tigen Sie hingegen fünf Zahlungen zu dem müssen beide Parteien das Online-
jeweils 20 Euro, wird noch keine TAN- banking der Sparkasse nutzen und die
Eingabe erforderlich. Erst ab der gleichnamige App auf ihrem Smartphone
sechsten Zahlung, oder wenn einer der installiert haben.
Beträge 20 Euro überschreitet, ver-
langt das Programm eine TAN. Beispiel Volks- und Raiffeisenbanken:
Kunden der VR-Banken nutzen den Ser-
Die Regelung gilt übrigens nicht pro vice über die Funktion "Geld senden und
Tag, sondern die Transaktionen wer- anfordern" der VR-Banking App. Da die
den fortlaufend addiert. Das bedeutet, App mit der Funktion "Kwitt" der Sparkas-
dass die TAN-Eingabe alle fünf Online- sen-App kooperiert, sind zum Beispiel
Überweisungen beziehungsweise ab Geldtransfers von VR-Bank-Konten zu
Beträgen von 100 Euro jeweils erneut Sparkassenkonten bis 30 Euro ohne TAN
erforderlich ist. möglich. Der Einfachheit halber heißt die
Funktion "Geld senden und anfordern" in
Beispiel Sparkasse: Mit der Sparkassen- der VR-Banking-App ebenfalls wie bei der
App können Kunden über die Funktion Sparkasse "Kwitt".
Kwitt bis zu 30 Euro ohne TAN von
Das „Thema der Woche“ ist ein Service der Verbraucher-Redaktion Biallo & Team GmbH, Bahnhofstraße
25, 86938 Schondorf. Sie können uns erreichen unter info@biallo.de oder per Telefon: 08192/93379-0.
Weitere Infos unter www.biallo.de
www.biallo.deSie können auch lesen
