Onlinebanking: Sag zum Abschied leise iTAN
Gedruckte Transaktionsnummern sind jetzt Geschichte. Kein Grund zur Trauer, denn neuere Verfahren bieten mehr Sicherheit. €uro am Sonntag zeigt, was jetzt zu beachten ist.
von Brigitte Watermann, €uro am Sonntag
Hand aufs Herz: Gehören Sie auch noch zu jenen Onlinebanking-Nutzern, die eine papierene Liste mit fortlaufenden Transaktionsnummern (TAN) in der Schublade liegen haben? Dann müssen Sie seit Kurzem endgültig Abschied nehmen und auf ein neues Sicherungsverfahren umsteigen. Das sogenannte iTAN-Verfahren ist seit dem 14. September nicht mehr erlaubt. Sicherlich hatten Sie von Ihrer Bank in den vergangenen Wochen entsprechende Post bekommen. Falls nicht, sollten Sie schnellstens nachfragen.
Schon lange galt das iTAN-Verfahren sicherheitstechnisch als überholt, die Consorsbank hat es schon vor mehr als zehn Jahren abgeschafft, die Postbank vor acht, die Sparkassen ebenso, die Volks- und Raiffeisenbanken vor mehr als fünf Jahren. Doch ausgerechnet bei vielen Onlinebanken hielt es sich bis jetzt. Damit ist jetzt Schluss, wie die EU-Zahlungsdiensterichtlinie PSD II vorschreibt.
Sie erhöht das Sicherheitsniveau bei Online-Bankgeschäften, die inzwischen jeder zweite Deutsche tätigt. Gut zu wissen: Wertpapiertransaktionen fallen nicht unter den Geltungsbereich der PSD II, daher wären dort Orderfreigaben mit iTAN weiterhin möglich. Reine Onlinebroker, die keine Girokonten im Angebot haben, nutzen das Verfahren daher zum Teil weiter, wie eine Umfrage von €uro am Sonntag zeigt. Bei Filial- und Direktbanken indes ist das iTAN-Verfahren üblicherweise für alle Geschäftsvorgänge abgeschafft, die Kunden sind auf neue Sicherheitsverfahren (Details siehe unten) umgestellt.
"Wir haben einige Beschwerden von Kunden, die gern an dieser Offlinelösung festhalten möchten", sagt Sascha Straub, Referatsleiter Finanzdienstleistungen bei der Verbraucherzentrale Bayern. Aber das ist per Gesetz nicht möglich. Elektronische Geldtransfers funktionieren künftig nur noch mithilfe moderner TAN-Verfahren, die jeweils dynamisch auf Anforderung neu erzeugt werden und die wichtige Transaktionsdaten mit eincodiert haben, zum Beispiel die Zielkontonummer und den Überweisungsbetrag. Der Kunde kann die angezeigten Daten mit seinem ursprünglichen Auftrag vergleichen und eine Manipulation erkennen. Das ermöglichen indexierte TANs auf Papier eben gerade nicht.
Daher versuchen Betrüger immer wieder, PIN und TAN von Kunden abzufischen, um Zugriff auf das Onlinebanking zu erhalten - das sogenannte Phishing. "Derzeit beobachten wir mehr Phishing-Mails als sonst üblich", erzählt Marten Ahrens, Experte für Zahlungsverkehr bei Comdirect. Verbraucherschützer Straub meint indes: "Dass es mehr Phishing-Mails geworden sind, können wir nicht bestätigen."
Kriminelle versuchen zum Beispiel über gefälschte Websites und vermeintliche E-Mail- oder SMS-Nachrichten der Bank, Kunden zur Preisgabe ihrer PIN und TAN zu bewegen. Mit dynamischen TAN-Verfahren wie mobileTAN per SMS aufs Handy und chipTAN, die einen zweiten Übertragungsweg (Mobiltelefon oder einen nicht mit dem Internet verbundenen TAN-Generator) nutzen, werden solche Angriffe erschwert.
Kunden sollten trotzdem auf der Hut sein, rät Michael Wichert aus dem Team IT-Security der Consorsbank: "Täuschungsversuche wird es auch weiterhin geben - zum Beispiel die Aufforderung, rasch einen QR-Code zu scannen. Damit kann man prinzipiell jedes Sicherheitsverfahren aushebeln."
Auch das Konto-Log-in wird künftig stärker abgesichert. Gefordert ist nun die sogenannte Zwei-Faktor-Authentifizierung. Das bedeutet: Beim Log-in zum Onlinebanking müssen Kunden nicht mehr nur wie gewohnt ihren Log-in-Code und ihr Passwort eingeben, sondern zusätzlich noch eine moderne TAN, und zwar mindestens alle 90 Tage. "Es wird künftig für Verbraucher deutlich häufiger erforderlich sein, TANs einzugeben", erklärt Straub.
Die Banken gehen mit dieser Anforderung allerdings unterschiedlich um, wie unsere Umfrage zeigt: Die Mehrheit verlangt die TAN-Eingabe bei jedem Log-in. Von den Banken in unserer Übersicht sehen lediglich Comdirect, Hypovereinsbank, Sparkassen sowie Volks- und Raiffeisenbanken die 90-Tage-Frist vor. "Viele Kunden loggen sich häufiger mal ins Konto ein, nur um den Kontostand zu checken. Daher möchten wir es ihnen so einfach wie möglich machen", so Comdirect-Mann Ahrens. "Durch die regelmäßige TAN-Abfrage beim Log-in und bei Aufgabe einer Überweisung ist die Sicherheit gewährleistet."
Deshalb setzen die Banken darauf, dass die TANs möglichst bequem erzeugt und zur Freigabe am besten direkt und ohne umständliches Eintippen übertragen werden. "In Zukunft wird es Onlinebanking ohne Smartphone eigentlich nicht mehr geben", meint daher Verbraucherschützer Straub. Die Tendenz geht klar in diese Richtung, wie ein Blick in die Tabelle bestätigt.
Gut möglich, dass das mTAN-Verfahren mit SMS aufs Handy ebenfalls schon bald zum Auslaufmodell wird. Das liegt auch daran, dass andere Verfahren als sicherer gelten. So rät das Bundesamt für Sicherheit in der Informationstechnik schon länger vom mTAN-Verfahren ab. Auch die Kosten spielen eine Rolle: Wenn künftig für jeden Log-in eine TAN benötigt wird, geht das für die Banken schnell ins Geld. Einige lassen sich daher mTANs, die erfolgreich für Transaktionen verwendet werden, von den Kunden bezahlen.
Wer zu App-basierten Verfahren wechselt, vermeidet das - und erhöht gleichzeitig die Sicherheit. "Wenn ich das Smartphone als TAN-Generator für das Onlinebanking am stationären Rechner nutze, dann ist das Verfahren sehr sicher. Für Kunden, die kein Smartphone nutzen, bietet sich ein TAN-Generator an", sagt Consorsbank-Experte Wichert. Besonders sicher sind TAN-Generatoren, weil sie keine Internetverbindung haben, die Abzocker für Angriffe nutzen könnten.
Smartphone und Co
Was früher die Unterschrift auf dem papierenen Überweisungsträger war, ist in Zeiten des Onlinebankings die TAN. Damit geben Bankkunden eine Transaktion frei. Gemäß der EU-Zahlungsdiensterichtlinie PSD II sind mehrere Verfahren erlaubt; manchmal geben die Banken den Verfahren eigene Namen, aber die Prinzipien sind ähnlich oder gleich. Ein Überblick:
TAN per SMS - mTAN: Der Bankkunde bekommt die TAN als SMS aufs Tablet oder Handy geschickt und tippt sie dann im Onlinebanking-Portal ein; ein Smartphone ist nicht nötig. mTAN dürfen die Banken berechnen, wenn der Kunde die TAN für Zahlungen genutzt hat (Bundesgerichtshof, Az. XI ZR 260/15). Gilt als Auslaufmodell.
TAN per Generator - chipTAN oder smartTAN: Der Kunde steckt seine Girocard in den TAN-Generator. Das Verfahren gilt dank Hardwareverschlüsselung mittels Karte als besonders sicher, ist am PC, aber auch bei Banking auf dem Smartphone einsetzbar, wenn man den Generator dabeihat.
TAN per optischem Code - photoTAN: Es gibt zwei Varianten - mit separatem Lesegerät (meist kostenpflichtig) oder App-basiert auf dem Handy. Zum Überweisen loggt man sich ins Onlinebanking ein, startet die App und bekommt eine Grafik am Computer angezeigt. Diese scannt man mit dem Handy ab und bekommt eine TAN, die man am Rechner eingibt.
App-basierte Verfahren - pushTAN und Co: Entwickelt fürs Banking auf dem Smartphone, aber auch am PC einsetzbar. Bei diesem Verfahren wird das Smartphone technisch in zwei Kanäle getrennt: einen für die Auftragseingabe über die Banking-App und einen weiteren für den Empfang der TAN. Nutzt man die Banking-App, wird die TAN in der Regel automatisch dorthin übernommen. Beim Onlinebanking am Rechner wird die TAN zur Bestätigung zumeist eingegeben.
Anforderungen an die Sicherheit im Online-Banking (pdf)
Mit der Kreditkarte im Netz?
Was sich hier ändert
Onlineshopping: Fürs Bezahlen im Internet einfach nur Kreditkartennummer, Gültigkeitsdatum und Sicherheitscode eintippen? Bald reicht das nicht mehr aus. Hier die wichtigsten Fragen und Antworten.
Die Finanzaufsicht Bafin hat Onlinehändlern eine Schonfrist dafür eingeräumt, erhöhte Sicherheitsstandards bei der Kreditkartenzahlung einzuführen. Die Behörde reagiert damit auf ihren Eindruck, dass es viele Onlinehändler nicht schaffen werden, bis zum eigentlich geplanten Stichtag 14. September die technischen Voraussetzungen zu schaffen. Wie lange die Schonfrist gilt, ist offen. Danach ist eine sogenannte starke Kundenauthentifizierung nötig.
Was versteht man unter starker Kundenauthentifizierung (SKA) und wann wird sie gebraucht?
Sie wird stets dann gefordert, wenn ein Kunde eine elektronische Zahlung auslösen möchte. Dafür müssen Händler zukünftig immer mindestens zwei der drei Faktoren "Wissen" (beispielsweise PIN oder Passwort), "Besitz" (etwa Smartphone, das mit Karte verknüpft wurde) und "Sein" (beispielsweise biometrische Merkmale wie Fingerabdruck) verlangen. Beim Onlineshopping reicht die Angabe von Kartennummer, Prüfziffer und Gültigkeitsdatum also künftig nicht mehr aus, denn die Kartendaten könnten ja auch zuvor entwendet worden sein. Daher benötigt man für eine gültige Freigabe demnächst noch einen weiteren Faktor.
Braucht man bei jeder Zahlung eine starke Kundenauthentifizierung?
"Für kleine Beträge kann es Ausnahmen geben", sagt eine Sprecherin der Finanzaufsicht Bafin. Darunter fallen beispielsweise Online-Überweisungen oder -Kreditkartenzahlungen bis 30 Euro, sofern seit der letzten Anwendung der SKA nicht bereits fünf Mal von dieser Ausnahme Gebrauch gemacht worden ist. Oder wenn die seit der letzten Anwendung der SKA getätigten Zahlungen kumuliert 100 Euro nicht überschritten haben. Es obliegt dem jeweiligen Kreditinstitut, ob es von einer Ausnahme Gebrauch macht.
Heißt das, ich muss künftig meine Karten-PIN auch bei Onlineshops eingeben?
Nein, das auf keinen Fall: Die PIN Ihrer Kreditkarte gilt nicht für den Onlineeinkauf und sollte auch nie im Internet eingegeben werden. Sie ist zum Abheben von Bargeld am Geldautomaten und zum Bezahlen an der Kasse im Handel erforderlich. Für Kartenzahlungen braucht man demnächst zusätzlich eine jeweils dynamische, also jedes Mal neu erzeugte TAN - ähnlich wie bei Überweisungen im Onlinebanking.
Wie bekomme ich diese TAN als zweiten Faktor?
Wie diese TANs erzeugt werden, ist von Bank zu Bank unterschiedlich. Gängig sind Freigaben über SMS-TAN aufs Handy oder über eine App. Das müssten Sie bei Ihrer Bank erfragen. Während der Übergangszeit sind Händler noch nicht verpflichtet, Kunden über zusätzliche Sicherheitsverfahren zu identifizieren. Als Basis dafür dienen so genannte 3-D-Secure-Verfahren, die bereits heute vielerorts beim Internet-Shopping zum Einsatz kommen und an die erhöhten Anforderungen angepasst wurden. Bei Kreditkarten von Mastercard nennt sich das Verfahren "Mastercard Identity Check" und bei Visa "Visa Secure".
Wie kann ich die Verfahren nutzen?
Man muss sich meist bei seiner Bank anmelden, manchmal registrieren die Banken ihre Kunden aber auch schon automatisch. Eventuell muss man eine gesonderte App laden.
Wie läuft ein Onlinekauf mit dem 3-D-Secure-Verfahren ab?
Vereinfacht dargestellt geht das so: Sie wählen im Onlineshop Ihres Vertrauens die Zahlungsart "Kreditkarte" und geben - wie bisher auch - ihre Kartendaten ein. Dann öffnet sich ein Pop-up-Fenster für das 3-D-Secure-Verfahren, in dem Sie aufgefordert werden, die Daten gegenzuchecken und die Zahlung freizugeben. Je nachdem, welche Freigabevariante Ihre Bank anbietet, erhalten Sie nun eine TAN auf ihr Handy. Wer ein Smartphone benutzt, kann je nach Bank seine Identität auch über die Banking-App beispielsweise mit einer PIN, einem Fingerabdruck oder per Gesichtserkennung nachweisen. Ist das abgeschlossen, sendet der Onlinehändler die Anfrage nun an die kartenausgebende Bank, die die Zahlung prüft, autorisiert und freigibt. Der Kauf ist dann abgeschlossen. Wichtig: Die Bankdaten werden nur zwischen der Bank und der 3-D-Secure-Seite ausgetauscht, der Online-Shop erhält keinen Zugriff darauf.
Ich bin Sparkassen-Kunde und wurde gebeten, mich für den S-ID-Check zu registrieren. Was hat es damit auf sich?
Der S-ID-Check ist das von den deutschen Sparkassen eingeführte App-basierte Verfahren, um Kartenzahlungen beim Onlineshopping künftig nach den neuen Anforderungen freizugeben.
Ich habe kein Smartphone, kann ich jetzt nicht mehr online mit Karte zahlen?
Das kommt auf die von Ihrer Bank oder Sparkasse angebotenen Verfahren an. Nach Auskunft des Deutschen Sparkassen- und Giroverbands wird wohl nicht jede Sparkasse neben dem S-ID-Check auch das mTAN-Verfahren anbieten. Kunden mit älteren Handys hätten dann ein Problem. Klar ist: Kunden, die gar kein Onlinebanking nutzen, können künftig wohl gar nicht mehr online mit ihrer Karte bezahlen, so der Handelsverband HDE. Ihnen bleiben aber altbewährte Verfahren wie der Kauf per Rechnung.
Kann ich bei Shops, bei denen ich oft einkaufe, auf die zusätzliche Sicherheitshürde verzichten (sogenanntes Whitelisting)?
"Unseres Wissens nach bietet aktuell noch keine Bank Whitelisting an. Dieses Angebot wird aber sicherlich kommen", sagt Sylvie Ernoult vom Bundesverband deutscher Banken.
_____________________________
Weitere News
Bildquellen: Lichtmeister / Shutterstock.com