Um heute seine Bankgeschäfte zu erledigen, führt der Weg nur noch selten bis gar nicht in eine Filialbank in der Nähe des Wohnortes. Die meisten Menschen haben ihr Konto entweder bei einer reinen Onlinebank oder nutzen den Onlineservice ihrer örtlichen Bank, weil es einfach bequemer ist. Daran haben sich die Banken mit ihrem Service angepasst und bieten schon seit Jahren die Möglichkeit, selbst Überweisungen, Auszahlungen und alle anderen Aufgaben rund um das Konto zu erledigen. Die dafür nötigen Sicherheitseinrichtungen haben sich im Laufe der Zeit ebenfalls verbessert.
Transaktionsnummern (TAN) zur eigenen Sicherheit
Jeder Auftrag, den man an seine Bank gibt, bekommt eine eigene Transaktionsnummer. Sie hat eine ähnliche Bedeutung wie die persönliche Unterschrift, mit der ein Auftrag freigegeben wird. Verständlicherweise ist eine solche TAN dann auch für einen Betrüger von Interesse, der damit Handlungen an dem betreffenden Konto vornehmen kann. Gleichzeitig sollte es deshalb selbstverständlich sein, dass das damit verbundene Verfahren besonders sicher ist.
Die Auswahl bei den TAN-Verfahren ist recht übersichtlich. Die unterschiedlichen Verfahrensarten sind nicht alle gleich sicher. Wer ein Girokonto erstmalig bei einer neuen Bank einrichten möchte, sollte sich vorab über die dort gängigen TAN-Verfahren informieren.
iTAN auf der Papierliste
Bei der Papierliste mit einer Vielzahl an TAN-Nummern handelt es sich um die älteste Variante von TAN-Verfahren. Sie war besonders in den Anfängen des Onlinebanking üblich, wofür der Kontoinhaber bzw. der Benutzer die Liste mit der Post zugeschickt bekam. Wird eine Überweisung oder eine andere Aktion vorgenommen, muss man aufgefordert, eine Nummer der Liste in bestimmter Reihenfolge einzusetzen. Diese Art TAN-Verfahren, das seit September 2019 EU-weit verboten wurde, wurde durch die m-TAN abgelöst.
mTAN per SMS
Das mTAN-Verfahren, also das mobile TAN-Verfahren löste die Papierform ab. Hier wird bei der Anforderung für jeden Auftrag innerhalb von Minuten eine SMS von der Bank an den Kunden geschickt. Sie enthält eine Zahlenkombination, die zum Freischalten des Auftrags online eingetippt werden muss. Möglicherweise können dafür Kosten anfallen. Auch wenn diese Variante als einfach und schnell umsetzbar gilt, weil man lediglich eine Telefonnummer benötigt, wird sie gleichzeitig als sehr unsicher bezeichnet. Möglicherweise nehmen die Banken die Einschätzung des Bundesamt für Sicherheit und Informationstechnik BSI zum Anlass, das mTAN-Verfahren einzustellen.
(© CorinnaL – Shutterstock.com)
pushTAN
Wenn die mTAN nicht mehr verwendet werden kann, könnte die pushTAN eine gute Alternative sein. Hierbei handelt es sich um eine App-basierte Variante, bei denen die eigene App der Banken verwendet wird. Wenn der Benutzer über die Banking-App auf sein Konto zugreifen möchte, muss er dazu ein bei der Einrichtung der App von ihm festgelegtes Passwort nutzen. Sobald dies geschehen ist, erhält der Benutzer von der App die Aufforderung, die abgefragte TAN einzugeben.
eTAN mit Generator und Chipkarte
Bei dieser Variante wird praktisch eine zweite Authentifizierungsquelle verwendet, weil eine Chipkarte und ein TAN-Generator benötigt werden. Nur zusammen kann daraus ein Code erzeugt und angezeigt werden, der dann für die betreffende Aktion eingesetzt wird. Die meisten Geldinstitute stellen ihren Kunden das Gerät zur Verfügung, oftmals kostenlos. Da es nicht an eine Bankkarte gebunden ist, können es auch mehrere Personen für ihre Kontobedienung verwenden. Diese Form der TAN-Erzeugung gilt als vorwiegend sicher, da zwei Geräte eingesetzt werden.
photoTAN mit Grafikcodes
Das photoTAN-Verfahren wird ebenfalls über eine App vorgenommen. Wenn ein Auftrag an die Bank verifiziert werden soll, wird auf dem Bildschirm eine verschlüsselte Grafik angezeigt. Sie wird mithilfe der App entschlüsselt, die daraus eine TAN herstellt. Wer nicht mit einer App arbeiten möchte, sollte eine Bank suchen, die dafür spezielle Auslesegeräte bereitstellt. Diese Variante gilt als sehr sicher, weil sowohl die getrennten Geräte als auch die grafische Datenverschlüsselung nur schwer zu hacken sind. Allerdings ist das Smartphone ein Unsicherheitsfaktor, weil man für die App kein Passwort benötigt und Handys immer anfällig für spezielle Trojaner sind.
Grundsätzlich sollte man nicht das gleiche Handy für die Erteilung des Auftrags wie für den Empfang der TAN benutzen. Eine Möglichkeit ist es, den Computer und das Smartphone für jeweils eine Aktion zu verwenden. Wenn das Smartphone zum Einsatz kommt, sollte es selbstverständlich wie der PC mit einer Viren-Software versehen sein.
