iTAN-Ende: So wird Online-Banking wirklich sicher (Teil 1)

iTAN-Ende: So wird Online-Banking wirklich sicher (Teil 1)

Immer mehr Kunden erhalten einen Brief von ihrer Bank. Das iTAN-Verfahren werde abgeschafft und sie sollen sich für ein neues entscheiden. Aber für welches – zur Wahl stehen oft mehrere? Diese Entscheidung ist wichtig. Denn tatsächlich steht bei den Banken bestmögliche Sicherheit leider nicht immer an erster Stelle – auch nicht bei den neuesten Überweisungsverfahren.

Zunächst die gute Nachricht: Mit der Zettelwirtschaft ist bald Schluss. Die Banken schaffen iTan-Listen für Internet-Überweisungen endgültig ab – ab Mitte 2019 darf das System nicht mehr zum Einsatz kommen. Dafür sorgt die Neufassung der EU-Vorschriften für Zahlungsdienste PSD2. Für die Neuregelung gibt es gute Gründe. Denn das iTAN-Verfahren, bei dem die Transaktionsnummern durchnummeriert auf einem Blatt Papier stehen, gilt schon lange als unsicher. Vor allem zwei Gefahren drohen:

  • Phishing: Kriminellen versuchen mit gefälschten E-Mails Kunden auf nachgestellte Bank-Internet-Seiten zu locken. Geben die Kunden hier ihre Anmeldedaten und TANs ein, können die Spitzbuben diese Daten für eigene Geschäfte missbrauchen.
  • Spionage-Schädlinge: Gelingt es einem Online-Gangster, einen speziellen Trojaner aufs Gerät zu schleusen, kann er die TANs bei Überweisungen abfangen, Betrag und Empfänger ändern und so Geld aufs eigene Konto transferieren.
Die alte TAN-Liste hat zu Recht bald ausgedient, dafür hat die EU gesorgt.
Die alte TAN-Liste hat zu Recht bald ausgedient, dafür hat die EU gesorgt.

Banken tragen Mitschuld

Obwohl diese Bedrohungen schon lange bekannt sind, nutzen immer noch viele Deutsche dieses veraltete System. Mitverantwortlich sind Banken wie Comdirect, Ing-Diba und die Targobank, die ihren Kunden das iTAN-Verfahren weiterhin anbieten. Und gleichzeitig für andere TAN-Verfahren oft Gebühren verlangen (mTAN) oder kostenpflichtige Geräte voraussetzen (chipTAN). Die große Frage, vor der viele Bankkunden also bald stehen: Auf welches Verfahren also umsteigen?

Doppelt hält besser

Das Zauberwort für bestmögliche Sicherheit lautet „Zwei-Faktor-Authentifizierung“, also der Einsatz von zwei verschiedenen Geräten. Beispielsweise dem Computer zum Eintippen und Freigeben der Überweisung und dem Smartphone für den Empfang der TAN. Denn beide Geräte gleichzeitig zu kontrollieren, ist selbst für gewiefte Cybergangster kaum zu schaffen. Die beliebten Methoden mTAN (TAN per SMS) und chipTAN (TAN-Erzeugung per Chipkarten-Lesegerät) gelten aus diesem Grund als recht sicher.  Denn neben der Zwei-Faktor-Authentifizierung verfällt die TAN nach wenigen Minuten. Überdies erhält der Kunde vor der Freigabe zur Kontrolle noch einmal die Zielkontonummer und den zu überweisenden Betrag angezeigt.

ChipTAN besonders sicher

Nichts desto trotz gelang es einer Betrügerbande das mTAN-Verfahren zu knacken. Die Masche: Die Kriminellen gaben sich als Telekom-Mitarbeiter aus. Auf diese Weise ergatterten sie Ersatz-Sim-Karten für Kunden-Handys „ihrer Kunden“ und fingen SMS mit den begehrten TANs ab. Der Schaden ging in die Millionen. Nicht nur aus diesem Grund genießt das chipTAN-Verfahren (auch bekannt als smartTAN) bei Sicherheitsexperten den besten Ruf. Vor allem deshalb, weil TAN-Generatoren im Gegensatz zu Smartphones als nicht manipulierbar gelten.

Knackpunkt unterwegs überweisen

Besonders komfortabel ist chipTAN aber nicht. Das gilt vor allem dann, wenn man mit dem Smartphone unterwegs seine Bankgeschäfte erledigen möchte. Niemand möchte schließlich stest ein Kartenlesegerät mitschleppen. mTAN ist aber für den mobilen Einsatz aber auch nicht das Wahre. Denn damit würde das Prinzip der Zwei-Faktor-Authentifizierung ausgehebelt. Aus diesem Grund funktioniert es schlicht und ergreifend auf Smartphones nicht – die Banken lassen es nicht zu.

Neu: Überweisen ohne TAN

Aus diesem Grund haben einige Banken neue Methoden ausgetüftelt, beispielsweise Push-TAN. Es funktioniert allein mit dem Smartphone ohne irgendwelche Zusatzgeräte oder Zettel. Warum die Banken es trotzdem als sicher anpreisen? Die Übertragung der Daten erfolgt über zwei separate Datenverbindungen. Eine fürs Banking-Portal (oder die Banking-App) und eine für die pushTAN-App. Beide sind verschlüsselt. Nichts desto trotz haben Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen die Schwächen des Systems bereits aufgezeigt. Es gelang ihnen, in insgesamt 31 Online-Banking-Apps eine Sicherheitslücke auszunutzen, die es Angreifern ermöglicht, die Kontrolle zu übernehmen. Erfolgreiche Cyber-Raubzüge von Kriminellen sind allerdings bisher nicht bekannt. Geldinstitute wie die ING-DiBa und die Postbank bewerben inzwischen sogar komplett TAN-lose Verfahren. Möglich machen’s Zusatz-Apps, die der Kunde über die Bank fest an sein Smartphone koppelt.

Fazit

Keine Frage, die Abschaffung der iTAN ist ein wichtiger Schritt für mehr Sicherheit beim Online-Banking. Denn durch die Einführung moderner Verfahren hat sich die Zahl der Betrugsfälle in den letzten Jahren deutlich verringert. Am sichersten ist, wenn Sie getrennte Geräte für TAN und Überweisung nutzen, wie es beispielsweise bei chipTAN und HBCI/FinTS der Fall ist. Da das HBCI-Verfahren nur wenige Banken anbieten, ist daher vor allem ChipTAN empfehlenswert. Die neuen Smartphone-Varianten pushTAN und TAN-los per Spezial-App sind zwar komfortabler, aber unterm Strich angreifbarer.  Letztendlich kommt es natürlich auch darauf an, welche TAN-Verfahren Ihre Hausbank überhaupt anbietet.

Im zweiten Teil erfahren Sie die Vor- und Nachteile der verschiedenen TAN-Verfahren.