Online-Banking: Das Ende der TAN-Liste kommt (teilweise)

Banken schaffen die sogenannten TAN-Listen, die beim Online-Banking zum Freischalten von Transaktionen wie Überweisungen erforderlich sind, ab. Hier ein grober Überblick, um was es geht und warum die TAN-Liste doch nicht tot ist.


Anzeige

Was sind TAN-Listen?

Das Kürzel TAN steht für Transaktionsnummer, ein Einmal-Code, der auf Papier in Form sogenannter TAN-Listen gedruckt und an Bankkunden in verschlossenen Umschlägen verschickt wurde. Beim Online-Banking fragte die Software dann bei Überweisungen oder ähnlichen Vorgängen nach einer TAN-Nummer. Nur bei Eingabe dieser TAN wird der Vorgang ausgeführt. Durch die Trennung der TAN-Liste von der Überweisungssoftware gab es eine gewisse Sicherheit, dass Unbefugte nicht an die TANs herankam.

iTAN(iTAN)

Wurden früher die TANs der Reihe nach aus der TAN-Liste abgefragt, ging man später aus Sicherheitsgründen dazu über, die TANs per Zufallsprinzip aus der TAN-Liste abzufragen. Dieses lief unter dem Begriff iTAN (indexierte TAN). Bei einer Überweisung hakte man einfach die verbrauchten TANs ab und gut war.

Hintergrund für den Wechsel zur iTAN war, dass Leute einfach einen TAN-Block in Banking-Programmen eingetippt oder auf dem Computer abgespeichert haben. Gelang es Online-Kriminellen an den Besitz dieser TAN-Kopien zu kommen, konnten Sie die erbeuteten TANs für eigene Zwecke verwenden. In diesem TAN-Wiki ist ein weiterer Fall für Missbrauch beschrieben. Mit der iTAN hoffte man, diese Schwachstelle bekämpfen zu können, die Betrüger wissen ja nicht, welche TAN gerade abgefragt wird.

Der Tod der TAN-Liste

Der TAN-Liste geht es aber an den Kragen – Berichte, dass die TAN-Liste stirbt, mäandern schon seit Ende 2018 durch die Medien (siehe hier und hier). Aber was steckt dahinter? Wollen die Banken das lästige Papier los werden? Nein, Hintergrund für das Ende der TAN-Liste bei Girokonten ist die zweite überarbeitete Zahlungsdiensterichtlinie (PSD2) der Europäischen Kommission. Diese hat das Ziel sichererer und innovativerer europäischer Zahlungen zu erreichen.

Die überarbeitete Richtlinie über Zahlungsdienste wurde in Deutschland mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie am 13. Januar 2018 umgesetzt. Banken haben seit diesem Stichtag 18 Monate Zeit, die TAN-Listen abzulösen. In Österreich wurde die PSD2 mit dem Zahlungsdienstegesetz 2018 umgesetzt, welches am 1. Juni 2018 in Kraft trat. Die Schweiz muss die PSD2-Regulierung der EU nicht umsetzen, dennoch wird diskutiert, ob eine PSD2-äquivalente Regulierung eingeführt werden soll.

Meine Direktbank hat noch TAN

Die meisten Banken haben inzwischen alternative Verfahren zur Sicherung von Online-Banking eingeführt. Wer sich nun wundert, dass seine Direktbank die TAN-Liste nicht abgelöst hat (ging mir so, als ich Berichte zum Ende der TAN-Listen las), ist von der Bank nicht vergessen worden.


Anzeige

Nur in diesem FAZ-Artikel habe ich die korrekte Information gefunden, dass die alten iTan-Listen für Kunden von Online-Banken zur Verwaltung ihrer Konten, die nicht zum Zahlungsverkehr benutzt werden, weiterhin gelten. Denn dieser Bereich fällt nicht unter die oben erwähnte Zahlungsdiensterichtlinie.

Was wird als Ersatz verwendet?

Es gibt eine Reihe alternativer Methoden, um die TAN dynamisch zu generieren. Die sogenannte SMS-TAN, die von der Bank auf ein Handy geschickt wird, steht aus Sicherheitsgründen vor dem Aus. Die sicherste Methode ist aus meiner Sicht die von Sparkassen und Volksbanken genutzten Chip-TAN-Generatoren.

Dort wird eine EC-Karte in ein kleines Gerät gesteckt, welches dann einen auf der Bankseite angezeigten Flickercode optisch einlesen und daraus eine TAN generieren kann. Vergleicht der Nutzer die Zahlungsdaten (Zielkonto und Summe) vor der Eingabe der erzeugten Einmal-TAN, kann eigentlich nichts schief gehen. Ich hatte das Verfahren im Blog-eitrag Online-Banking: mTAN und Banking-Apps unsicher angesprochen.

Es gibt weitere Verfahren wie mTAN, bei der ein Mobilgerät verwendet wird. Auch dieses ist als unsicher zu bezeichnen. Banken verwenden inzwischen auch eine photoTAN ein Foto mit einem Barcode per Handy von einer App fotografiert und dann eine TAN berechnet wird. Etwas ähnliches ist die QR-TAN, wo ein QR-Code per Handykamera fotografiert und dann per App eine TAN berechnet wird. Die TAN-Berechnung per Handy löst bei mir immer Bauchgrimmen aus – und das photoTAN-Verfahren wurden von Hackern geknackt. Auch Banking per App auf Smartphones sehe ich als kritisch an. Der Artikel hier beschreibt einige TAN-Verfahren, ist meiner Ansicht nach aber veraltet. Wenn die Bank dies anbietet, empfehle ich das oben skizzierte Chip-TAN-Verfahren mit einem vom PC unabhängigen Generator, auch wenn der ein paar Euro kostet.

Ähnliche Artikel:
Online-Banking: App-TANs (u.a. der Sparkassen) unsicher
Online-Banking: mTAN und Banking-Apps unsicher


Anzeige

Dieser Beitrag wurde unter Allgemein abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Online-Banking: Das Ende der TAN-Liste kommt (teilweise)

  1. Blupp sagt:

    Als kleine Ergänzung, weil ich das hier nicht so rauslese.
    Für das photoTAN-Verfahren habe ich von meiner Bank schon seit Jahren einen TAN-Generator, der kann auch QR-TAN. Da das dann nicht auf dem Handy läuft und der TAN-Generator für nichts anderes brauchbar ist, sollte das ebenso sicher sein wie bei Chip-TAN.

    • guenni sagt:

      Wenn dem so ist, ja – als Handy-App nein. Das Problem hat der nachfolgende Kommentator ja bereits angesprochen: Da der Generator nach der Aktivierung keine weitere Eingabe wie Pin oder EC-Karte mehr braucht, ist es Essig mit der Sicherheit, sobald der Generator in falsche Hände gerät und Dritte die Bankdaten kennen.

      • Blupp sagt:

        Ja das stimmt, grundsätzlich ist das aber immer ein Problem.
        Egal wie sicher ein Schlüssel ist, gerät der in falsche Hände wars das. Immerhin wird vor der Nutzung noch ein gültiges Login benötigt, leider nicht mit 2. – Faktor.

        Beim Chip-TAN der Sparkasse ist das auch nicht anders. Gerät die Karte samt PIN in falsche Hände wars das genauso. Da kann man dann irgendein TAN-Generator nehmen. Hier mal getestet als meine Tochter ihren geschrottet hatte, der TAN-Generator lief anstandslos mit einer fremden Karte.

        Absolute Sicherheit gibts eben nicht.

  2. nook sagt:

    Ich habe von der Norisbank einen PhotoTan Generator für das Konto einer Angehörigen bekommen, gratis!
    Nachdem mit der Aktivierungsgrafik (extra Schreiben) der Generator "personalisiert" wurde, konnte schon überwiesen werden. Grafik im Browser scannen, Daten kontrollieren, TAN eingeben und GO.

    Im Gegensatz zu meinen HBCI und ChipTan Verfahren, braucht es keine Chipkarte oder sonstige Freigaben für den Generator.
    Das finde ich ganz schön happig!

  3. Walter G. sagt:

    So ganz erschließt sich mir noch nicht, inwieweit mTAN und SMS in Gänze unsicher sein sollen. Wenn ich ein stinknormales Handy ohne Internet-Zugang und mit Prepaid-SIM-Karte benutze, das nur per GPRS bzw. EDGE empfängt und ich auch die in der SMS angegebenen Überweisungsdaten kontrolliere und die Bank es auch nicht zulässt, die Handynummer im Onlinebanking selbst zu ändern, wo ist dabei dann noch eine Unsicherheit vorhanden?

    Es wäre wirklich schade, wenn diese praktische Handhabung per mTAN irgendwann wegfallen würde. Ich sehe es als risikoreicher an, dass mir Computer und TAN-Generator/TAN-Liste in meiner Abwesenheit zusammen geklaut werden, als das dies bei Computer und Handy der Fall wäre – das Handy habe ich bei mir.

    • guenni sagt:

      Die Warnung kommt teilweise daher, dass a) auf Smartphones mit Apps das Ganze per Trojaner manipuliert werden könnte – trifft bei dir nicht zu – und b) die GPRS/EDGE/UTMS/LTE-Protokolle Schwachstellen aufweisen, so dass die Daten umgeleitet werden können. Aber das von dir skizzierte Szenario dürfte nicht einfach zu knacken sein. Aber unmöglich ist es imho nicht – und es gab vor Jahren mal einen Fall, wo eine zusätzliche Schwachstelle in einem Provider-Gateway missbraucht wurde, um SMS per Roaming an andere Teilnehmer in ausländischen Netzen umzuleiten (denn dein Handy könnte ja im Urlaub in Italien eingebucht sein – das war die Konstellation, die missbraucht wurde – der Kunde in Deutschland wunderte sich nur, dass die SMS nicht ankam oder bekam von allem nichts mit).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert