 |
# taz.de -- TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN |
|
|
|
> Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das |
|
> Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen. |
|
|
 |
Bild: Adieu mit ö |
|
|
|
Also: 123456, ficken, hallo, passwort. Kein Witz, sondern laut einer |
|
Analyse des Hasso-Plattner-Instituts vier der zehn meistgewählten |
|
Passwörter, die Nutzer:innen in Deutschland im vergangenen Jahr |
|
verwendeten. Die Deutschen, so folgerte Institutsdirektor Christoph Meinel, |
|
sind nicht nur wenig kreativ. Sondern auch leichtsinnig. |
|
|
|
Beim [1][Onlinebanking] wird es demnächst schwieriger mit der |
|
Leichtsinnigkeit. Spätestens zum 14. September schaffen die Banken |
|
flächendeckend das iTAN-Verfahren ab. Wer dann eine Überweisung tätigen |
|
will, darf nicht länger aus einer Papierliste die dafür angeforderte |
|
Transaktionsnummer (TAN) heraussuchen, sondern muss sich ein alternatives |
|
Verfahren suchen. |
|
|
|
Grundlage dafür ist eine europäische Richtlinie, die kurz PSD2 genannt |
|
wird. Erste Elemente sind bereits 2018 in Kraft getreten, zum Beispiel |
|
wurden zusätzliche Gebühren bei der Kartenzahlung abgeschafft. Doch nun, |
|
im September, wird es für Verbraucher:innen unbequemer: „TANs dürfen damit |
|
künftig nicht mehr auf Vorrat erzeugt werden, wie bei einer Liste, sondern |
|
erst in dem Moment, in dem sie gebraucht werden“, sagt David Riechmann, |
|
Banken-Experte bei der Verbraucherzentrale Nordrhein-Westfalen. |
|
|
|
Kund:innen müssen sich dann für eine Überweisung sicherer authentifizieren |
|
als bislang. Sicherer, das heißt: Von den drei Kategorien Wissen, Haben und |
|
Sein müssen sie zwei erbringen und die beiden Elemente müssen voneinander |
|
unabhängig sein. Wissen, das wäre beispielsweise das Passwort für den |
|
Login. Haben, das kann zum Beispiel ein zusätzliches Gerät sein, das die |
|
TAN erzeugt. Und Sein, darunter fallen biometrische Merkmale, etwa der |
|
Fingerabdruck. |
|
|
|
## Schönes Wirrwarr |
|
|
|
Und da fangen die Probleme an. Denn statt auf eine – zumindest fakultativ |
|
angebotene – branchenweite Alternative setzen die Banken viel daran, ihre |
|
eigenen Insellösungen zu schaffen: Die meisten haben eine eigene App, viele |
|
bieten Kund:innen an, die TAN per SMS zu versenden, häufig allerdings gegen |
|
extra Gebühren pro verschickter Nachricht. Wer weder App noch SMS möchte, |
|
kann einen TAN-Generator verwenden, der mal ein Lesegerät ist, in das man |
|
die Karte stecken muss, mal nicht, aber bei beiden Varianten gilt: |
|
Kund:innen müssen das Gerät in der Regel kaufen. |
|
|
|
Eine Familie, deren Mitglieder Girokonten bei drei verschiedenen Banken |
|
haben, kann sich damit in folgender Situation wiederfinden: Bank A hat die |
|
Listen schon abgeschafft und schickt die Transaktionsnummer per SMS. Wer |
|
das nicht möchte oder kein Handy hat, muss in ein Gerät investieren, das |
|
die TAN per animierter Grafik, QR-Code oder Bluetooth überträgt. Das kostet |
|
dann zwischen knapp 10 und gut 30 Euro. Immerhin: pro Gerät, nicht pro TAN. |
|
|
|
Bank B dagegen bietet noch bis September das iTAN-Verfahren an, versucht |
|
aber schon heute, ihre Kund:innen zu überzeugen, dass sie stattdessen |
|
besser die eigens programmierte App nutzen mögen. Zu haben ist die über |
|
iTunes oder Googles Play-Store. Menschen, die ihr Smartphone ohne |
|
Google-Dienste nutzen, können sich den Code zwar per SMS schicken lassen, |
|
und für alle anderen soll es rechtzeitig vor September auch noch einen |
|
TAN-Generator geben. Dessen Preis ist noch unklar, doch was schon sicher |
|
feststeht: Kompatibel mit anderen Banken soll er nicht sein. |
|
|
|
Bank C hingegen bietet ebenfalls TANs per SMS und per Generator |
|
(Kostenpunkt bei dieser Bank zwischen knapp 20 und über 70 Euro), empfiehlt |
|
jedoch allen, die auch mal aus dem Auslandsurlaub eine Überweisung |
|
vornehmen wollen, Letzteres. Denn SMS kämen da manchmal verspätet an. |
|
|
|
„Für Kunden kann die Umstellung Anschaffungskosten oder Komplikationen |
|
bedeuten“, fasst Verbraucherschützer Riechmann zusammen. Im Onlineforum der |
|
ING-Bank – nach eigenen Angaben kundenmäßig die drittgrößte Bank |
|
Deutschlands – liest sich das zum Beispiel so: „Ich bin betrübt dazu, dass |
|
meine jahrelange Hausbank mich gefühlt im Regen stehen läßt, indem MEINE |
|
Bedürfnisse im Vorfeld gar nicht abgefragt wurden“, schreibt ein Nutzer, |
|
ein anderer, weniger diplomatisch: „Ich bin soeben von der Postbank auch |
|
mit dem Girokonto zu ING gewechselt und finde hier jetzt dieselbe Sch… |
|
vor.“ |
|
|
|
Denn ob man sich für SMS, App oder TAN-Generator entscheidet, hat nicht nur |
|
etwas mit den individuellen Vorlieben in Sachen Bequemlichkeit und Kosten |
|
zu tun. Sondern auch mit der Frage: Wie sicher darf es denn sein? |
|
|
|
Das Dilemma von ING-Kund:innen, die künftig die Auswahl zwischen drei |
|
Verfahren haben, ist typisch – denn diese Wahlmöglichkeiten sind es, die |
|
üblicherweise angeboten werden: Option 1: Die TAN kommt per SMS. Das klingt |
|
bequem, ist aber nicht besonders sicher – in der Praxis haben es Kriminelle |
|
schon geschafft, die Codes mit SIM-Karten-Duplikaten abzufischen. |
|
|
|
Option 2: eine App. Voraussetzung dafür ist ein Smartphone, dessen |
|
Betriebssystem nicht zu alt sein darf, und die Bereitschaft, je nach |
|
Betriebssystem Apple oder Google an der Information teilhaben zu lassen, |
|
bei welcher Bank man das Girokonto unterhält. Das Verfahren per App gilt |
|
als weitgehend sicher – aber nur, wenn Kund:innen für die Überweisung |
|
selbst ein zweites Gerät, zum Beispiel ein Notebook, nutzen. Sonst ist das |
|
Risiko zu hoch, dass Angreifer:innen das Gerät hacken und Überweisungen |
|
umleiten können. |
|
|
|
Option 3: ein TAN-Generator. Der gilt derzeit als sicherste Methode – |
|
allerdings müssen die Kunden hier in aller Regel für die Anschaffung |
|
zahlen. Die Preise unterscheiden sich von Bank zu Bank beträchtlich und |
|
gehen etwa bei 10 Euro los. Die ING kündigte bereits an, dass der Generator |
|
kostenpflichtig sein wird und nicht für andere Banken verwendet werden |
|
kann. |
|
|
|
## Jeder Klick ein Risiko |
|
|
|
Zsófia Köhler, Sprecherin der ING, erklärt, man habe sich gegen ein offenes |
|
System entschieden, „weil wir als Bank ein Sicherheitsversprechen für |
|
unsere Kunden geben, welches wir nur für eigene Lösungen garantieren |
|
können“. Andere Banken scheinen das allerdings durchaus hinzukriegen: So |
|
bieten etwa Volksbanken ein Gerät an, das auch bei anderen Instituten |
|
einsetzbar ist. Umgekehrt können Kund:innen dann auch Geräte von anderen |
|
Banken verwenden, wenn sie den entsprechenden technischen Standard |
|
unterstützen. Auf eigene Faust zu probieren, ob nicht auch andere Geräte |
|
funktionieren, sollten allerdings nur Menschen, die wirklich wissen, was |
|
sie da technisch tun. Denn falls es dann Kriminellen gelingt, Geld von dem |
|
Konto abzugreifen, wäre es für die Bank ein Leichtes, eine Erstattung zu |
|
verweigern. |
|
|
|
David Riechmann rechnet damit, dass die Zahl der Kund:innen, die von der |
|
Umstellung überrascht werden, zunimmt, je näher der September kommt. Und |
|
damit auch die Zahl der Beschwerden. „Wer nur alle paar Monate mal online |
|
auf sein Konto schaut, wird sich dann fragen, wie er eine – zumal |
|
kostenfreie – Überweisung tätigen kann.“ |
|
|
|
Banken, die noch auf die Listen setzen, versuchen daher jetzt schon, |
|
Kund:innen zum Umstieg zu bewegen. Und tatsächlich: Auch das nutzen |
|
Kriminelle bereits aus. In fingierten Bank-E-Mails versuchen sie, die |
|
Empfänger:innen dazu zu bewegen, ihre Daten auf Webseiten, die |
|
vermeintlich von der eigenen Bank stammen, einzugeben. Die nächste |
|
Sicherheitslücke ist eben immer nur einen Klick entfernt. |
|
|
|
2 Jul 2019 |
|
|
|
## LINKS |
|
|
 |
[1] /Gerichtsurteil-zu-Onlinebanking/!5429358 |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Banken |
|
Datenschutz |
|
Verbraucherschutz |
|
Onlinebanking |
|
Online-Shopping |
|
Online-Shopping |
|
Bremen |
|
Kontogebühren |
|
Geflüchtete |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
IT-Experte über mobiles Online-Banking: „Angreifer haben es schwerer“ |
|
|
|
Apps für das Smartphone machen das Online-Banking sicherer, meint der |
|
IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind. |
|
|
|
Neue Regeln für Online-Zahlungen: Tschüss, TAN-Liste, hallo App |
|
|
|
Ab Samstag ändern sich einige der Regeln für Online-Zahlungen. Was ist neu? |
|
Und welche Verfahren gibt es? Ein Überblick. |
|
|
|
Telefonnummern im Onlinehandel: Chatbot statt Warteschleife |
|
|
|
Händler müssen im Netz keine Telefonnummer für den Kundenkontakt angeben. |
|
Aber: Mit seinem Urteil stellt das europäische Gericht andere |
|
Anforderungen. |
|
|
|
Kommentar überteuerte Basiskonten: Der Gesetzgeber ist gefragt |
|
|
|
Nicht nur die Bremische Volksbank will durch viel zu teure Kontogebühren |
|
unerwünschte Kunden fernhalten. Das muss unterbunden werden. |
|
|
|
Kommentar versteckte Kontogebühren: Kündigt bei den Pfennigfuchsern! |
|
|
|
Drei Viertel der Bundesbürger haben noch nie ihre Bank gewechselt. Dabei |
|
ist das inzwischen sehr einfach. Und es gibt immer mehr Gründe dafür. |
|
|
|
Kritik an Kontogebühren: „Ein günstigerer Grundpreis ist nötig“ |
|
|
|
Der Verbaucherzentrale Bundesverband (vzbv) klagt gegen drei Banken. Laut |
|
vzbv verstoßen sie gegen Regelungen für Basiskonten. |
