Online-Banking wird künftig komplizierter und Kunden reagieren auf die neuen Regelungen alles andere als begeistert. Doch es ist gut so: Die Tan-Liste hat es Betrügern zu leicht gemacht.

Nun ist auch für die letzten Bankkunden die Zeit des Abschieds gekommen. Alle diejenigen, die fürs Online-Banking noch eine lange Liste von sechsstelligen Ziffernfolgen zu Hause haben und nach jeder Buchung eine sogenannte Transaktionsnummer (Tan) abstreichen, müssen sich bald von dieser Gewohnheit verabschieden und auf ein anderes Verfahren ausweichen.

Thomas Klemm Redakteur im Ressort „Geld & Mehr“ der Frankfurter Allgemeinen Sonntagszeitung. F.A.Z.

Sich umzugewöhnen mag zwar lästig sein, es ist aber besser so. Denn das Verfahren mit der Tan-Liste auf Papier ist relativ unsicher. Immer wieder gelingt es Kriminellen, von Bankkunden Pin und Tan abzufischen, sich Zugang zu deren Online-Konto zu verschaffen und darin zu wildern. Zwar werden Ganoven auch weiter versuchen, mit betrügerischen E-Mails und gefälschten Bank-Websites Daten und Überweisungen abzugreifen. Aber es soll ihnen so schwer gemacht werden wie möglich.

Viele Geldinstitute müssen ihren Kunden nun nahebringen, dass spätestens Mitte September Schluss ist mit der Tan-Liste (auch iTan genannt). Doch setzen die deutschen Geldhäuser lediglich um, was die Europäische Union ihnen vorgibt. Die EU hat nämlich neue Regeln eingeführt, die unter dem sperrigen Namen „Zweite Zahlungsdiensterichtlinie“ zusammengefasst sind und unter anderem Verbraucher besser gegen Betrüger schützen sollen. Eine der Forderungen von PSD2, wie die Richtlinie in aller Kürze genannt wird, ist demnach die zweistufige Art, wie sich der Kunde beim Online-Banking identifizieren muss.

Vorbehalte gegenüber mTan

Ob beim Einloggen oder bei der Buchung, stets muss neben dem Benutzernamen und dem Passwort ein weiterer Faktor zur Authentifizierung dynamisch hergestellt werden. Konkret heißt das, dass im Zuge jeder Überweisung eine damit verknüpfte Tan generiert wird. Mit einem iTan-Zettel, auf dem Zahlenreihen vorgegeben sind, funktioniert so etwas nicht. „Die Sicherheit erhöht sich, denn durch die Zwei-Faktor-Authentifizierung beim Einloggen ist die Hürde für Betrüger viel größer“, sagt Christiane Fritsch, die bei der deutschen Direktbank ING (vormals ING-Diba) den Bereich Digital Leadership betreut.

Wie von den Banken zu hören ist, reagieren die Kunden auf die Veränderung alles andere als begeistert. Die einen haben keine Lust, sich an etwas Neues zu gewöhnen, die anderen bezweifeln, dass alternative Verfahren besser sind als die gute alte iTan-Liste. Tatsächlich gibt es unter den drei anderen gängigen Varianten – mTan, PhotoTan und ChipTan – bessere und schlechtere. Deshalb rät das Bundesamt für Sicherheit in der Informationstechnik (BSI), bei der Auswahl einer Hausbank auch auf das angebotene Tan-Verfahren zu achten. Nicht alle Kreditinstitute böten sichere Verfahren an. „Allerdings ist keines der Tan-Verfahren gegen alle Angriffe resistent, ein gewisses Risiko bleibt immer“, heißt es vom BSI.

Vorbehalte haben das Bundesamt und Verbraucherschützer gegenüber der mTan, die manchmal auch mobile Tan oder SMS-Tan genannt wird. Das heißt: Will ein Kunde etwas abbuchen lassen, bekommt er von der Bank eine Tan per SMS aufs Smartphone geschickt. Abgesehen davon, dass manche Institute wie die Deutsche Bank und die Commerzbank für jede SMS neun Cent verlangen und dass man nicht ein und dasselbe Handy gleichzeitig zum Banking und zum SMS-Empfang nutzen darf: Vor allem aus Sicherheitsgründen rät das BSI vom mTan-Verfahren ab. Denn die von der Bank verschickte SMS könnte von Kriminellen abgefangen und auf betrügerische Art umgeleitet werden. Internetgauner plünderten schon so manches deutsche Konto, nachdem sie sich dort erst Zugang verschafft und dann eine Schwachstelle im Mobilfunknetz ausgenutzt hatten. Mit der so abgefischten SMS-Tan hatten die Ganoven alles, was sie brauchten.

Der Kunde muss zahlen

Als sicherstes Verfahren im Online-Banking gilt gemeinhin das sogenannte ChipTan-Verfahren. Dafür müssen Kunden ein Gerät kaufen, das wie ein kleiner Taschenrechner mit Schlitz aussieht. In diesen sogenannten Tan-Generator müssen Nutzer, nachdem sie am PC oder Mobilgerät ihre Überweisungsdaten eingegeben haben, ihre Girokarte stecken. Danach halten sie das Gerät beispielsweise vor einen Flickercode, der auf der Banking-Seite als schwarzweiß flackernde Balken erscheint. Bestätigt der Nutzer seine Buchung per Knopfdruck, errechnet der Generator eine Tan.

Millionen Kunden der Sparkassen und Volks- und Raiffeisenbanken kennen und nutzen dieses Verfahren schon seit Jahren, für sie ändert sich also nichts durch die neue EU-Zahlungsrichtlinie. Viele andere Banken ziehen nun nach und bieten ebenfalls einen Tan-Generator an. Selbstverständlich muss der Kunde dafür zahlen, in der Regel kostet so ein Gerät rund zehn Euro.

Mehr zum Thema 1/

Ein Smartphone dagegen hat sowieso fast jeder. Damit lassen sich Bankgeschäfte auf zwei Arten erledigen. Zum einen über das PhotoTan-Verfahren. Dabei erscheint auf der Website der Bank ein Barcode, den der Kunde mit dem Handy abfotografieren muss. Daraufhin wird eine Tan generiert und die Buchung abgewickelt. Die andere Möglichkeit ist smarter: Über die Banking-App wird die Tan innerhalb des Smartphones übertragen. Authentifizieren kann sich der Nutzer zum Beispiel auch mit seinem Fingerabdruck. Die ING hat viele ihrer Kunden von der App überzeugt. „Bislang haben wir in der App noch keine Betrügereien erlebt“, sagt Christiane Fritsch.

So ganz verschwinden die alten iTan-Listen übrigens nicht. Vor allem den Kunden von Direktbanken und Online-Brokern bleibt die Tan erhalten. Denn für Wertpapierkonten und andere, die nicht zum Zahlungsverkehr genutzt werden, gilt die neue Richtlinie PSD2 nicht.