Nach und nach verabschieden sich die Banken in Deutschland von der TAN-Liste auf Papier. Diese wurde dem Online-Banking-Kunden früher per Post zugeschickt - bei Transaktionen musste dann jeweils eine bestimmte Nummer daraus eingegeben werden, um den Vorgang zu legitimieren und abzuschließen. Dieses Verfahren galt zwar schon als relativ sicher, doch gewiefte Internetbetrüger hatten auch hier Erfolg.
So schätzt der Branchenverband Bitkom, dass es im vergangenen Jahr rund 5000 Fälle von Phising gab. Phising bedeutet, dass Betrüger Passwörter oder eben auch TAN-Nummern ausspionieren, in dem sie beispielsweise offiziell aussehende Mails an die Bankkunden schreiben und um die Preisgabe von ansonsten geheimen Informationen bitten. Kerstin Backofen von Stiftung Warentest sagt:
"Und es gab immer noch Leute, die auf diese Mails hereingefallen sind. Dazu kommt, dass die TAN-Listen auch zu Hause sicher verwahrt werden müssen. Manche haben Online-Banking am Arbeitsplatz gemacht, haben diese Liste auch mitgeführt - und dann besteht eben das Risiko, dass Fremde in diese Listen einsehen und sie eventuell auch kopieren kann. Somit ist dann schon einmal eine Komponente in der Hand des Betrügers, die er für einen Betrug braucht. Wenn er dann noch Ihren Computer hacken kann, dann kommt eine Unsicherheit zur zweiten, und dadurch wird es ermöglicht, einen Betrug zu machen."
Somit hat das bisherige TAN-Verfahren auf Papier durchaus einige Sicherheitslücken. Deshalb haben die Banken schrittweise neue Verfahren eingeführt. Sie setzen dabei auf zwei Methoden: Zum einen wird das mobile TAN-Verfahren eingesetzt. Der Kunde nutzt dann parallel Computer und Handy. Michaela Roth vom Deutschen Sparkassen- und Giroverband erklärt, wie es genau funktioniert:
"Wenn ich also an der entsprechenden Stelle beim Online-Banking bin, dann bekomme ich diese speziell auf die Transaktion zugeschnittene TAN auf mein Handy gesimst. Ich bekomme auch die wichtigsten Transaktionsdaten wie Betragshöhe und Kontonummer des Empfängers zur Abgleichung damit zugesandt. Wenn das alles passt, dann gebe ich diese individuell berechnete TAN ein."
Experten halten diese Methode, die auch sms-TAN genannt wird, für sicherer, weil auch der Kunde erst kurz vor der Transaktion die TAN-Nummer mitgeteilt bekommt - und diese zudem nirgendwo aufbewahrt werden muss. Das zweite relativ neue Verfahren heißt Chip-TAN. Hier muss sich der Kunde allerdings ein zusätzliches Gerät anschaffen, Michaela Roth:
""Der zweite Weg ist der, dass ich selbst einen TAN-Generator habe. Der hat auf der Rückseite ein paar Sichtfelder, also eine sogenannte optische Schnittstelle. Wenn ich an der entscheidenden Stelle beim Online-Banking bin, kommt ein flimmernder Schwarz-Weiß-Code. Da halte ich den TAN-Generator davor und über dieses Flimmern werden die Transaktionsdaten eingelesen und berechnet. Diese TAN muss dann eingegeben werden."
Das chip-TAN-Verfahren mit zusätzlichem Lesegerät hat den Vorteil, dass es auch in Gegenden mit schlechtem Mobilfunkempfang funktioniert.
Nach und nach werden die Banken in Deutschland nun auf diese neuen TAN-Verfahren umstellen. Einzelne Bankhäuser haben dies bereits ab 2008 getan, in diesem Jahr wird aber das Gros der Banken nachziehen und sich von der alten Papierliste verabschieden.
Die Stiftung Warentest begrüßt dies - die neuen Verfahren seien sicherer als das alte. Allerdings müsse der Kunde auch mit Kosten rechnen, der Preis für das zusätzliche Lesegerät beim chip-TAN-Verfahren liegt zwischen rund zehn und 20 Euro. Und bei der Handy-Variante gebe es noch kein einheitliches Bild, sagt Kerstin Backofen:
"Es ist zunehmend, dass Banken diese sms-TAN kostenlos anbieten. Andere sagen, kostenlos sind bei uns nur die ersten zehn Vorgänge eines Monats, danach wird es kostenpflichtig. Es gab aber auch Banken, die bislang 19 Cent pro Vorgang berechnet haben. Das wird sich endgültig erst im Laufe des Wettbewerbs entwickeln und optimal ist es natürlich, wenn es kostenlos ist."
So schätzt der Branchenverband Bitkom, dass es im vergangenen Jahr rund 5000 Fälle von Phising gab. Phising bedeutet, dass Betrüger Passwörter oder eben auch TAN-Nummern ausspionieren, in dem sie beispielsweise offiziell aussehende Mails an die Bankkunden schreiben und um die Preisgabe von ansonsten geheimen Informationen bitten. Kerstin Backofen von Stiftung Warentest sagt:
"Und es gab immer noch Leute, die auf diese Mails hereingefallen sind. Dazu kommt, dass die TAN-Listen auch zu Hause sicher verwahrt werden müssen. Manche haben Online-Banking am Arbeitsplatz gemacht, haben diese Liste auch mitgeführt - und dann besteht eben das Risiko, dass Fremde in diese Listen einsehen und sie eventuell auch kopieren kann. Somit ist dann schon einmal eine Komponente in der Hand des Betrügers, die er für einen Betrug braucht. Wenn er dann noch Ihren Computer hacken kann, dann kommt eine Unsicherheit zur zweiten, und dadurch wird es ermöglicht, einen Betrug zu machen."
Somit hat das bisherige TAN-Verfahren auf Papier durchaus einige Sicherheitslücken. Deshalb haben die Banken schrittweise neue Verfahren eingeführt. Sie setzen dabei auf zwei Methoden: Zum einen wird das mobile TAN-Verfahren eingesetzt. Der Kunde nutzt dann parallel Computer und Handy. Michaela Roth vom Deutschen Sparkassen- und Giroverband erklärt, wie es genau funktioniert:
"Wenn ich also an der entsprechenden Stelle beim Online-Banking bin, dann bekomme ich diese speziell auf die Transaktion zugeschnittene TAN auf mein Handy gesimst. Ich bekomme auch die wichtigsten Transaktionsdaten wie Betragshöhe und Kontonummer des Empfängers zur Abgleichung damit zugesandt. Wenn das alles passt, dann gebe ich diese individuell berechnete TAN ein."
Experten halten diese Methode, die auch sms-TAN genannt wird, für sicherer, weil auch der Kunde erst kurz vor der Transaktion die TAN-Nummer mitgeteilt bekommt - und diese zudem nirgendwo aufbewahrt werden muss. Das zweite relativ neue Verfahren heißt Chip-TAN. Hier muss sich der Kunde allerdings ein zusätzliches Gerät anschaffen, Michaela Roth:
""Der zweite Weg ist der, dass ich selbst einen TAN-Generator habe. Der hat auf der Rückseite ein paar Sichtfelder, also eine sogenannte optische Schnittstelle. Wenn ich an der entscheidenden Stelle beim Online-Banking bin, kommt ein flimmernder Schwarz-Weiß-Code. Da halte ich den TAN-Generator davor und über dieses Flimmern werden die Transaktionsdaten eingelesen und berechnet. Diese TAN muss dann eingegeben werden."
Das chip-TAN-Verfahren mit zusätzlichem Lesegerät hat den Vorteil, dass es auch in Gegenden mit schlechtem Mobilfunkempfang funktioniert.
Nach und nach werden die Banken in Deutschland nun auf diese neuen TAN-Verfahren umstellen. Einzelne Bankhäuser haben dies bereits ab 2008 getan, in diesem Jahr wird aber das Gros der Banken nachziehen und sich von der alten Papierliste verabschieden.
Die Stiftung Warentest begrüßt dies - die neuen Verfahren seien sicherer als das alte. Allerdings müsse der Kunde auch mit Kosten rechnen, der Preis für das zusätzliche Lesegerät beim chip-TAN-Verfahren liegt zwischen rund zehn und 20 Euro. Und bei der Handy-Variante gebe es noch kein einheitliches Bild, sagt Kerstin Backofen:
"Es ist zunehmend, dass Banken diese sms-TAN kostenlos anbieten. Andere sagen, kostenlos sind bei uns nur die ersten zehn Vorgänge eines Monats, danach wird es kostenpflichtig. Es gab aber auch Banken, die bislang 19 Cent pro Vorgang berechnet haben. Das wird sich endgültig erst im Laufe des Wettbewerbs entwickeln und optimal ist es natürlich, wenn es kostenlos ist."
