Online-Banking Banken motten Papier-TANs ein

Letztendlich geht es - wie so oft im Netz - um Sicherheit. Das für Bankgeschäfte per Computer gewählte PIN/TAN-System wird mit knapp 30 Jahren Lebensdauer langsam in die Rente verabschiedet: Es ist einfach zu missbrauchsanfällig. Die Papierlisten-TANs bieten "seit einigen Jahren keinen passenden Schutz mehr gegen die immer besser werdenden Angriffe", schrieb der Zentrale Kreditausschuss der Banken und Sparkassen schon im November 2009.

Aufgerüstet haben die Sparkassen nach Angaben einer Sprecherin ihr Verschlüsselungssystem schon 2009 - seit diesem Zeitpunkt arbeitet das Online-Banking flächendeckend mit smsTAN und chipTAN. Für die Abschaltung der papierenen iTANs nannten die Sparkassen noch keinen konkreten Termin; sie dürften aber "früher oder später verschwinden", hieß es. Gestern hat die  Postbank als erste Großbank vollständig auf dieses System umgestellt. Die Verwendung der iTAN soll für alle Privatkunden Mitte April abgeschaltet werden.

Die Volksbanken und Raiffeisenbanken verwenden iTAN nur noch im Bereich Süddeutschland und Berlin. Die alten Listen sollen dort zum Ende des Jahres ungültig werden, wie ein Sprecher sagte.

Zögerlicher gehen die beiden größten Banken vor. Die Postbankmutter  Deutsche Bank erklärte, derzeit sei keine Abschaffung der TAN-Listen geplant. Bei der  Commerzbank hieß es auf Nachfrage der dapd: "Wir bieten das iTAN-Verfahren weiter an." Im Gegensatz zu anderen Banken gibt es dort bisher auch keine mobileTAN oder ein andere Bestätigungsmethode für das private Online-Banking. Neue Verfahren würden aber geprüft, sagte ein Sprecher.

Grundlage für die Umstellung sind Sicherheitsbedenken. Die iTAN, die indizierte TAN, ist schon eine Verbesserung des ursprünglichen Verfahrens, bei dem eine einmal verwendbare Transaktionsnummer (TAN) die Richtigkeit beispielsweise eines Überweisungsauftrags bestätigte. Neu bei der iTAN war, dass das Online-Banking-Programm des Geldinstituts vorgab, in welcher Reihenfolge die Nummern zu verwenden waren. Das sollte sogenannte Phishing-Angriffe von Internet-Kriminellen erschweren.

Zwei Verfahren haben sich herauskristallisiert, die die gedruckte TAN bald flächendeckend ablösen dürften: mobileTAN und chipTAN. Beide Verfahren zielen darauf ab, mehr Sicherheit zu gewährleisten, indem die Zahlungen durch einen zweiten Kanal neben dem Internet bestätigt werden müssen.

Bei der mobileTAN, auch smsTAN, wird eine für den Einzelfall im Bankcomputer errechnete Transaktionsnummer per SMS auf eine vorher vereinbarte Handy-Nummer geschickt. Damit muss dann auf der Website der Bank die Transaktion freigegeben werden. Weiterer Vorteil des Verfahrens ist, dass mit der SMS auch die wesentlichen Auftragsdaten übermittelt werden, so dass es eher auffallen sollte, wenn ein Betrüger versucht, unrechtmäßig Geld abzuziehen.

Während die mobileTAN im wesentlichen kostenlos ist oder nur einen Centbetrag pro SMS kostet, ist für die chipTAN ein zusätzliches Gerät zum Preis von maximal etwa 15 Euro erforderlich. Das sei jedoch eine einmalige Zahlung, und das Gerät könne von allen im Haushalt Lebenden mit genutzt werden, da es die Chipkarten auch anderer Banken und Sparkassen lesen könne, erläuterte Postbank-Sprecher Jürgen Ebert. Vorteil der chipTAN ist, dass sie auch in Gegenden mit schlechtem Handyempfang oder im Ausland funktioniert.

Das Gerät wird vor den Computerbildschirm gehalten und liest von einem Muster blinkender Schwarzweißfelder die Auftragsdetails ab. Das dauert nur kurze Zeit, dann erzeugt das Gerät eine TAN zur einmaligen Verwendung für den entsprechenden Auftrag. Der TAN-Generator zeigt zudem auf seinem Display die wesentlichen Auftragsdaten an, wie sie bei der Bank vorliegen. Damit sollten auch hier wie bei der smsTAN Manipulationen auffallen.