# taz.de -- TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN
> Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das
> Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen.
(IMG) Bild: Adieu mit ö
Also: 123456, ficken, hallo, passwort. Kein Witz, sondern laut einer
Analyse des Hasso-Plattner-Instituts vier der zehn meistgewählten
Passwörter, die Nutzer:innen in Deutschland im vergangenen Jahr
verwendeten. Die Deutschen, so folgerte Institutsdirektor Christoph Meinel,
sind nicht nur wenig kreativ. Sondern auch leichtsinnig.
Beim [1][Onlinebanking] wird es demnächst schwieriger mit der
Leichtsinnigkeit. Spätestens zum 14. September schaffen die Banken
flächendeckend das iTAN-Verfahren ab. Wer dann eine Überweisung tätigen
will, darf nicht länger aus einer Papierliste die dafür angeforderte
Transaktionsnummer (TAN) heraussuchen, sondern muss sich ein alternatives
Verfahren suchen.
Grundlage dafür ist eine europäische Richtlinie, die kurz PSD2 genannt
wird. Erste Elemente sind bereits 2018 in Kraft getreten, zum Beispiel
wurden zusätzliche Gebühren bei der Kartenzahlung abgeschafft. Doch nun,
im September, wird es für Verbraucher:innen unbequemer: „TANs dürfen damit
künftig nicht mehr auf Vorrat erzeugt werden, wie bei einer Liste, sondern
erst in dem Moment, in dem sie gebraucht werden“, sagt David Riechmann,
Banken-Experte bei der Verbraucherzentrale Nordrhein-Westfalen.
Kund:innen müssen sich dann für eine Überweisung sicherer authentifizieren
als bislang. Sicherer, das heißt: Von den drei Kategorien Wissen, Haben und
Sein müssen sie zwei erbringen und die beiden Elemente müssen voneinander
unabhängig sein. Wissen, das wäre beispielsweise das Passwort für den
Login. Haben, das kann zum Beispiel ein zusätzliches Gerät sein, das die
TAN erzeugt. Und Sein, darunter fallen biometrische Merkmale, etwa der
Fingerabdruck.
## Schönes Wirrwarr
Und da fangen die Probleme an. Denn statt auf eine – zumindest fakultativ
angebotene – branchenweite Alternative setzen die Banken viel daran, ihre
eigenen Insellösungen zu schaffen: Die meisten haben eine eigene App, viele
bieten Kund:innen an, die TAN per SMS zu versenden, häufig allerdings gegen
extra Gebühren pro verschickter Nachricht. Wer weder App noch SMS möchte,
kann einen TAN-Generator verwenden, der mal ein Lesegerät ist, in das man
die Karte stecken muss, mal nicht, aber bei beiden Varianten gilt:
Kund:innen müssen das Gerät in der Regel kaufen.
Eine Familie, deren Mitglieder Girokonten bei drei verschiedenen Banken
haben, kann sich damit in folgender Situation wiederfinden: Bank A hat die
Listen schon abgeschafft und schickt die Transaktionsnummer per SMS. Wer
das nicht möchte oder kein Handy hat, muss in ein Gerät investieren, das
die TAN per animierter Grafik, QR-Code oder Bluetooth überträgt. Das kostet
dann zwischen knapp 10 und gut 30 Euro. Immerhin: pro Gerät, nicht pro TAN.
Bank B dagegen bietet noch bis September das iTAN-Verfahren an, versucht
aber schon heute, ihre Kund:innen zu überzeugen, dass sie stattdessen
besser die eigens programmierte App nutzen mögen. Zu haben ist die über
iTunes oder Googles Play-Store. Menschen, die ihr Smartphone ohne
Google-Dienste nutzen, können sich den Code zwar per SMS schicken lassen,
und für alle anderen soll es rechtzeitig vor September auch noch einen
TAN-Generator geben. Dessen Preis ist noch unklar, doch was schon sicher
feststeht: Kompatibel mit anderen Banken soll er nicht sein.
Bank C hingegen bietet ebenfalls TANs per SMS und per Generator
(Kostenpunkt bei dieser Bank zwischen knapp 20 und über 70 Euro), empfiehlt
jedoch allen, die auch mal aus dem Auslandsurlaub eine Überweisung
vornehmen wollen, Letzteres. Denn SMS kämen da manchmal verspätet an.
„Für Kunden kann die Umstellung Anschaffungskosten oder Komplikationen
bedeuten“, fasst Verbraucherschützer Riechmann zusammen. Im Onlineforum der
ING-Bank – nach eigenen Angaben kundenmäßig die drittgrößte Bank
Deutschlands – liest sich das zum Beispiel so: „Ich bin betrübt dazu, dass
meine jahrelange Hausbank mich gefühlt im Regen stehen läßt, indem MEINE
Bedürfnisse im Vorfeld gar nicht abgefragt wurden“, schreibt ein Nutzer,
ein anderer, weniger diplomatisch: „Ich bin soeben von der Postbank auch
mit dem Girokonto zu ING gewechselt und finde hier jetzt dieselbe Sch…
vor.“
Denn ob man sich für SMS, App oder TAN-Generator entscheidet, hat nicht nur
etwas mit den individuellen Vorlieben in Sachen Bequemlichkeit und Kosten
zu tun. Sondern auch mit der Frage: Wie sicher darf es denn sein?
Das Dilemma von ING-Kund:innen, die künftig die Auswahl zwischen drei
Verfahren haben, ist typisch – denn diese Wahlmöglichkeiten sind es, die
üblicherweise angeboten werden: Option 1: Die TAN kommt per SMS. Das klingt
bequem, ist aber nicht besonders sicher – in der Praxis haben es Kriminelle
schon geschafft, die Codes mit SIM-Karten-Duplikaten abzufischen.
Option 2: eine App. Voraussetzung dafür ist ein Smartphone, dessen
Betriebssystem nicht zu alt sein darf, und die Bereitschaft, je nach
Betriebssystem Apple oder Google an der Information teilhaben zu lassen,
bei welcher Bank man das Girokonto unterhält. Das Verfahren per App gilt
als weitgehend sicher – aber nur, wenn Kund:innen für die Überweisung
selbst ein zweites Gerät, zum Beispiel ein Notebook, nutzen. Sonst ist das
Risiko zu hoch, dass Angreifer:innen das Gerät hacken und Überweisungen
umleiten können.
Option 3: ein TAN-Generator. Der gilt derzeit als sicherste Methode –
allerdings müssen die Kunden hier in aller Regel für die Anschaffung
zahlen. Die Preise unterscheiden sich von Bank zu Bank beträchtlich und
gehen etwa bei 10 Euro los. Die ING kündigte bereits an, dass der Generator
kostenpflichtig sein wird und nicht für andere Banken verwendet werden
kann.
## Jeder Klick ein Risiko
Zsófia Köhler, Sprecherin der ING, erklärt, man habe sich gegen ein offenes
System entschieden, „weil wir als Bank ein Sicherheitsversprechen für
unsere Kunden geben, welches wir nur für eigene Lösungen garantieren
können“. Andere Banken scheinen das allerdings durchaus hinzukriegen: So
bieten etwa Volksbanken ein Gerät an, das auch bei anderen Instituten
einsetzbar ist. Umgekehrt können Kund:innen dann auch Geräte von anderen
Banken verwenden, wenn sie den entsprechenden technischen Standard
unterstützen. Auf eigene Faust zu probieren, ob nicht auch andere Geräte
funktionieren, sollten allerdings nur Menschen, die wirklich wissen, was
sie da technisch tun. Denn falls es dann Kriminellen gelingt, Geld von dem
Konto abzugreifen, wäre es für die Bank ein Leichtes, eine Erstattung zu
verweigern.
David Riechmann rechnet damit, dass die Zahl der Kund:innen, die von der
Umstellung überrascht werden, zunimmt, je näher der September kommt. Und
damit auch die Zahl der Beschwerden. „Wer nur alle paar Monate mal online
auf sein Konto schaut, wird sich dann fragen, wie er eine – zumal
kostenfreie – Überweisung tätigen kann.“
Banken, die noch auf die Listen setzen, versuchen daher jetzt schon,
Kund:innen zum Umstieg zu bewegen. Und tatsächlich: Auch das nutzen
Kriminelle bereits aus. In fingierten Bank-E-Mails versuchen sie, die
Empfänger:innen dazu zu bewegen, ihre Daten auf Webseiten, die
vermeintlich von der eigenen Bank stammen, einzugeben. Die nächste
Sicherheitslücke ist eben immer nur einen Klick entfernt.
2 Jul 2019
## LINKS
(DIR) [1] /Gerichtsurteil-zu-Onlinebanking/!5429358
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Banken
(DIR) Datenschutz
(DIR) Verbraucherschutz
(DIR) Onlinebanking
(DIR) Online-Shopping
(DIR) Online-Shopping
(DIR) Bremen
(DIR) Kontogebühren
(DIR) Geflüchtete
## ARTIKEL ZUM THEMA
(DIR) IT-Experte über mobiles Online-Banking: „Angreifer haben es schwerer“
Apps für das Smartphone machen das Online-Banking sicherer, meint der
IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind.
(DIR) Neue Regeln für Online-Zahlungen: Tschüss, TAN-Liste, hallo App
Ab Samstag ändern sich einige der Regeln für Online-Zahlungen. Was ist neu?
Und welche Verfahren gibt es? Ein Überblick.
(DIR) Telefonnummern im Onlinehandel: Chatbot statt Warteschleife
Händler müssen im Netz keine Telefonnummer für den Kundenkontakt angeben.
Aber: Mit seinem Urteil stellt das europäische Gericht andere
Anforderungen.
(DIR) Kommentar überteuerte Basiskonten: Der Gesetzgeber ist gefragt
Nicht nur die Bremische Volksbank will durch viel zu teure Kontogebühren
unerwünschte Kunden fernhalten. Das muss unterbunden werden.
(DIR) Kommentar versteckte Kontogebühren: Kündigt bei den Pfennigfuchsern!
Drei Viertel der Bundesbürger haben noch nie ihre Bank gewechselt. Dabei
ist das inzwischen sehr einfach. Und es gibt immer mehr Gründe dafür.
(DIR) Kritik an Kontogebühren: „Ein günstigerer Grundpreis ist nötig“
Der Verbaucherzentrale Bundesverband (vzbv) klagt gegen drei Banken. Laut
vzbv verstoßen sie gegen Regelungen für Basiskonten.