Autor
Alexander Winkler
Alexander Winkler; Foto: SWR3 – Stephanie Schweigert
Stand:

Die TAN-Liste auf Papier hat ausgedient: Ab 14. September müssen Banken höhere Sicherheitsstandards erfüllen. Die wichtigsten Änderungen.

Die zweite europäische Zahlungsdiensterichtlinie „PSD2“ tritt zwar erst am 14. September in Kraft, schon jetzt setzen aber viele Banken die neuen Vorgaben für das Online-Banking um. Drei Änderungen sind für die meisten dabei besonders wichtig:

  1. In Zukunft sind unsere Online-Konten quasi doppelt gesichert, schon beim Einloggen reichen deswegen Benutzername und Passwort nicht mehr aus. Die Zwei-Faktor-Authentifizierung wird damit zum Standard.
  2. TAN-Listen auf Papier halten den neuen Sicherheitsstandards auch nicht mehr Stand. Überweisungen können nur noch mit dem Smartphone oder TAN-Generator freigegeben werden.
  3. Mit dem „Konto-Blick“ müssen Banken auch externen Dienstleistern Einblick in das Konto ihrer Kunden geben – mit unserer Zustimmung natürlich.

Online-Banking-Login per Fingerabdruck

Schon das Anmelden auf der Webseite unserer Banken wird komplizierter. Bisher reicht einigen Banken der Login mit Benutzername und Passwort. In Zukunft müssen wir uns aber doppelt identifizieren – zum Beispiel mit einer TAN-Nummer. Für die App auf dem Smartphone können aber auch der Fingerabdruck oder die Gesichtserkennung genutzt werden.

Detail-Aufnahme eines iPhone 5s mit einem Fingerabdruckscanner.; Foto: picture alliance / Kay Nietfeld / dpa

Zum Entsperren von Online-Banking-Apps reicht in den meisten Fällen wohl der Fingerabdruck.

picture alliance / Kay Nietfeld / dpa

Damit es nicht zu kompliziert wird, muss dieser Aufwand aber nicht jedes Mal sein. Es reicht, wenn die Bank diesen zweiten Faktor maximal alle 90 Tage abfragt.

Diese Zwei-Faktor-Authentifizierung (2FA) beim Einloggen ist am Anfang zwar gewöhnungsbedürftig, bringt aber deutlich mehr Sicherheit. Sollte jemand unseren Benutzernamen oder das Passwort geklaut haben, bringt ihm das wenig, weil er zusätzlich unser Smartphone, unsere EC-Karte oder unseren Fingerabdruck braucht. Auch für E-Mail-Konten oder Social-Media-Profile ist die 2FA empfehlenswert.

Die TAN-Liste hat ausgedient

Wer heute noch seine Überweisungen mit TANs (TransAktionsNummer) von einer ausgedruckten Papierliste freigibt, der muss sich umstellen. Das sogenannte iTAN-Verfahren ist einfach nicht mehr sicher genug. Dafür haben Banken bisher Listen mit zum Beispiel 100 nummerierten TAN-Nummern verschickt, von denen dann eine konkrete beim Online-Banking abgefragt wurden. Bis die komplette Liste abgearbeitet war, blieben aber alle weiteren TAN-Nummern gültig.

 Eine junge Frau führt mit einem TAN-Generator und ihrer Bankcard eine Überweisung per Onlinebanking durch.; Foto: picture alliance / David Ebener / dpa

Das chipTAN-Verfahren gilt als das sicherste beim Onlinebanking.

picture alliance / David Ebener / dpa

Neue Verfahren müssen hingegen sicherstellen, dass TAN-Nummern zum Beispiel spezifisch für eine konkrete Überweisung generiert werden und nach wenigen Minuten ungültig werden. Die großen deutschen Banken haben dafür vier unterschiedliche Verfahren im Einsatz, die entweder mit dem Smartphone oder einem separaten TAN-Generator funktionieren:

  1. chipTAN: Hierfür wird die TAN mit einem Generator und der eigenen EC-Karte generiert. Die Generatoren sind meist kleine Lesegräte in Taschenrechnergröße. ChipTAN gilt als das sicherste Verfahren, setzt aber natürlich voraus, dass der kleine Generator überall mit dabei ist, wo man ihn gerade braucht.
  2. mTAN/smsTAN: Dabei wird die TAN-Nummer per SMS aufs Handy geschickt. Obwohl Sicherheitsexperten ebenfalls vor mTAN warnen, ist das Verfahren bei den meisten großen Banken noch im Einsatz.
  3. Eigene TAN-App: Neben der App zum Online-Banking bieten einige Banken weitere Apps an, die ausschließlich frische TAN-Nummern generieren. Das Verfahren ist deshalb sicher, weil jeder Kunde die App nur auf einem Smartphone installieren kann.
  4. photoTAN: Dieses Verfahren ist eine Art Mischung aus TAN-Generator und TAN-App. Bei einer Überweisung wird beispielsweise ein buntes Muster generiert. Dieses Muster wird dann mit der photoTAN-App fotografiert und das Smartphone generiert daraus die richtige TAN-Nummer. Auch das photoTAN-Verfahren wurde allerdings bereits gehackt, der Angriff ist allerdings schwierig.
IT-Sicherheitsforschern der Friedrich-Alexander-Universität Erlangen-Nürnberg führen eine manipulierte Überweisung auf einem Android-Smartphone vor.; Foto: dpa/picture-alliance

Bei der photoTAN wird der TAN-Code mittels eines bunten Musters generiert.

dpa/picture-alliance

Neuer Einblick für Service-Apps

Mit PSD2 sind die Banken auch zum sogenannten „Konto-Blick“ verpflichtet. Das heißt, sie müssen externen Anbietern Zugriff auf unsere Konten geben, wenn wir Kunden das erlauben. Das können zum Beispiel die Banken untereinander sein, sodass Kunden, die Konten bei mehreren Banken haben, diese in Zukunft in nur einer App verwalten können. Auch Kreditanbietern kann so Zugriff gewährt werden, die ansonsten viele Unterlagen wie Kontoauszüge per Post anfordern würden.

Natürlich dürfen all diese Anbieter nur Zugriff auf unsere Konten bekommen, wenn wir das explizit erlauben. Auch welche Kontodaten freigegeben wer, dürfen wir Kunden entscheiden. Außerdem unterliegen die Dienstleister ab sofort der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Autor
Alexander Winkler
Autor
SWR3