InvestorWissen24.de

Die neuen TAN-Verfahren

Das Online-Banking erfreut sich immer größerer Beliebtheit: Es erspart dem Bankkunden lästige Wege und Zeit, zudem kann er sich jederzeit und überall Einblick in seine Kontensituation verschaffen, und zwar unabhängig von Standort und Öffnungszeiten der Banken. Wären da nicht die nagenden Zweifel im Hinblick auf die Sicherheit dieses elektronischen Verfahrens, würden sich sicherlich noch mehr Bankkunden für diese zeitgemäße Möglichkeit entscheiden.

Die Banken haben inzwischen Gegenmaßnahmen ergriffen und daran gearbeitet, die Sicherheit beim Online-Banking noch mehr als bisher zu gewährleisten. Wir Bankkunden werden uns deshalb mit neuen Verfahren auseinandersetzen müssen; das ist zunächst einmal unbequem wie jede Veränderung erst einmal nervig ist. Diese Umstellung sollte aber belohnt werden mit erhöhter Sicherheit für Ihr Konto.

Wir stellen Ihnen hier die neuen Verfahren in Kurzform vor, damit Sie schon einmal gewappnet sind, wenn Ihre Bank auf Sie zukommt.

Worum genau geht es also?

TAN steht für Transaktionsnummer. Eine solche Transaktionsnummer ist ein aus sechs Zahlen bestehendes Passwort, das jeweils nur für eine einzelne Transaktion Gültigkeit hat und benötigt wird, um beispielsweise eine Überweisung durchzuführen.

Diese TANs wurden bislang beim klassischen Verfahren von den Banken per Computer generiert, in Listen zusammengestellt (in der Regel 100 TANs pro Liste) und den Kunden per Post zugeschickt.

Anfänglich konnten Sie dann mit einer beliebigen TAN aus diesem Ausdruck von der Bank Ihre Zahlung veranlassen.

iTAN-Verfahren

Dann wurde das iTAN-Verfahren (indiziertes TAN-Verfahren) entwickelt: Sie geben in die Online-Banking-Maske auf Ihrem PC Ihre geplante Transaktion ein, daraufhin wird Ihnen mitgeteilt, dass Sie für diese Transaktion von der TAN-Liste die TAN mit der fortlaufenden Nummer XYZ eingeben müssen. Aus der durchnummerierten TAN-Liste, die Ihnen Ihre Bank zugeschickt hat, suchen Sie dann jeweils die TAN mit der entsprechenden Nummer XYZ heraus  und geben diese betreffende TAN in die Maske auf Ihrem PC ein. Damit ist Ihre Transaktion autorisiert und wird von der Bank durchgeführt. Doch leider erweist sich auch dieses Verfahren als noch nicht sicher genug.

eTAN-plus- beziehungsweise ChipTAN-Verfahren

Die nächste Weiterentwicklung ist das eTAN-plus-Verfahren oder auch ChipTAN-Verfahren. Hierfür benötigen Sie so ein kleines Kartenlesegerät respektive TAN-Generator, wie Sie in der obigen Abbildung sehen können.

Zunächst geben Sie in Ihren Computer die Daten für Ihre Überweisung in die Online-Banking-Maske Ihrer Bank ein, dann stecken Sie Ihre Girocard in einen TAN-Generator (bei Ihrer Bank für zehn und fünfzehn Euro zu kaufen), daraufhin zeigt Ihnen der PC-Monitor einen Code, und diesen Code geben Sie dann wieder in den TAN-Generator ein. Das Gerät errechnet dann mit Hilfe des goldfarbenen Chips auf der Karte Ihre neue TAN, die Sie auf seinem Display ablesen können. Sobald Sie diese neue TAN dann wiederum in die Online-Banking-Maske eingegeben haben, ist Ihre Transaktion autorisiert und der Vorgang abgeschlossen.

Da neben Ihrem Computer ein weiteres externes Gerät, nämlich der TAN-Generator, benötigt wird sowie zusätzlich Ihre Girocard – und an beides kommen Hacker nicht heran -, gilt dieses Verfahren als sehr sicher.

Anmerkung: Ihnen ist vielleicht aufgefallen, dass ich hier von Girocard gesprochen habe statt von EC-Karte:  Vereinfacht ausgedrückt ist diese Girocard quasi das europäische Gegenstück für die frühere deutsche EC-Karte und soll sicherstellen, dass im gesamten Euro-Raum der Zahlungsverkehr via dem sogenannten electronic cash, wie Sie es von Ihrem Supermarkt kennen, und den Geldautomaten einheitlich und sicher ist. Mehr dazu finden Sie unter http://www.girocard.eu/.

mTAN- oder SMS-Verfahren

Dann gibt es noch eine weitere Möglichkeit, nämlich das mTAN-Verfahren (mobiles TAN-Verfahren). Bei diesem Verfahren erhalten Sie Ihre TAN, die nur ein paar Minuten lang gültig ist, samt den wichtigsten Auftragsdaten per SMS auf Ihr Handy.

Diese Kurzmitteilungen kosten natürlich etwas, wer jedoch diese Kosten trägt und wie hoch sie sind, hängt ab von dem jeweiligen Geldinstitut.

HBCI- oder FinTS-Verfahren

Ein weiteres Verfahren ist das HBCI-Verfahren (HBCI - Homebanking Computer Interface) oder seine Weiterentwicklung, das FinTS-Verfahren (FinTS - Financial Transaction Services), das sich allerdings nicht auf breiter Ebene durchgesetzt hat. Für dieses Verfahren benötigen Sie ein kleines Lesegerät, das Sie für jede Transaktion an Ihren Computer anschließen müssen. In dem Moment, wo Sie dann Ihre Girocard in das Gerät schieben, schalten Sie Ihren PC für das Online-Banking frei und Sie können daraufhin Ihre jeweilige Transaktion durchführen.

Die Planung

Genossenschaftsbanken, Sparkassen und der Postbank planen nun, bis Ende 2011 die Konten Ihrer insgesamt rund neun Millionen Bankkunden umzustellen vom bislang verwendeten iTAN-Verfahren auf das neuere eTAN-plus- oder Chip-Verfahren bzw. das mTAN- oder SMS-Verfahren. Kunden anderer Banken steht es frei, ebenfalls zu wechseln, falls sie es wünschen.

Einige Volksbanken und Sparkassen bieten den für das eTAN-plus- oder Chip-Verfahren benötigten TAN-Generator sogar kostenlos an, allerdings abhängig vom jeweiligen Kontomodell des Kunden.

Laut dem Deutschen Sparkassen- und Giroverband (DSGV) ist es den jeweiligen Sparkassen überlassen, ob sie die Kosten selbst tragen oder den Bankkunden sieben bis zehn Cent pro SMS berechnen. Einige Kontomodelle sehen auch ein monatliches kostenloses SMS-Kontingent vor, also eine Art Flat-Rate. Sobald das Kontingent aufgebraucht ist, muss der Kunde für jede zusätzliche SMS zahlen. Genossenschaftsbanken wollen ebenfalls nach diesem Konzept verfahren.

Die Postbank wiederum will sich an ihr Versprechen eines kostenlosen Online-Bankings halten und die Kosten für die Kurzmitteilungen selbst tragen, so auch die HypoVereinsbank.

Anders die Deutsche Bank, die jede mobile TAN mit 9 Cent berechnen will.

Die Commerzbank bleibt bei ihrem iTAN-Verfahren, denn ihr System sei „mit zusätzlichen Schutzmechanismen“ versehen und somit sicher. Allerdings würden sie sich informiert halten über die in Zukunft neu entwickelten Verfahren.

Die neuen Verfahren gibt es schon seit geraumer Zeit. Aus Sicht der Banken brauchte die Umstellung jedoch eine gewisse Zeit aufgrund der mangelnden Bereitschaft der Bankkunden, sich auf eine Veränderung und ein neues Verfahren einzulassen. „Schließlich sind die Papierlisten seit Jahrzehnten bekannt und geliebt“, kommentiert Ebert von der Postbank. Deshalb sollten die Kunden zunächst von der neuen Technik überzeugt werden.

IT-Experten warnen allerdings schon jetzt, dass auch Chip- und SMS-TAN-Verfahren – egal wie sicher sie jetzt noch sind – irgendwann wohl doch von kriminellen Hackern aufs Korn genommen werden.

Bleiben Sie wachsam!

Unser Buchtipp zu diesem Thema:

Bezahlen heute. Wie der moderne Zahlungsverkehr funktioniert