Die E-Mail klang alarmierend: "Ihr Konto wurde eingeschränkt!", schrieb der vermeintliche Absender Paypal. Ein Sicherheits-Update sei nötig. Wer jetzt auf den Button "Weiter zur Verifizierung" klickte, riskierte, sich eine Schadsoftware einzufangen.

Solche Mails von Paypal, Ebay oder einer Bank sollten Sie unbedingt sofort löschen. Kein Zahlungsdienstleister wird Sie jemals per E-Mail dazu auffordern, Ihre persönlichen Daten oder Passwörter irgendwo zu aktualisieren oder zu verifizieren. Die Log-in-Daten zu erbeuten ist für Online-Abzocker aber nur der erste Schritt.

Um wirklich Geldbeträge in dunkle Kanäle weiterzuleiten, benötigen sie eine TAN. Doch hier steht mit dem neuen EU-Zahlungsverkehrsrecht namens PSD II eine Zeitenwende an. Die bei einigen Banken noch eingesetzte iTAN mit durchnummerierten TANs auf Papier erfüllt die gestiegenen Sicherheitsanforderungen nicht mehr und wird bis Herbst 2019 im Zahlungsverkehr ausgemustert. TANs müssen sodann mit dem konkreten Überweisungsvorgang verknüpft sein, will heißen: "Künftig fließt in die Berechnung von TANs nicht nur die Zielkontonummer mit ein, sondern auch der konkrete Betrag", erläutert Terry Johnson, IT-Sicherheitsexperte der Consorsbank.

"Bei den Sicherheitsverfahren dürfte es branchenweit Richtung Photo-TAN, Security App und E-TAN gehen", ist Johnson überzeugt. "Auch die SMS-TAN könnte mittelfristig aussterben, zumal sie für die Banken zu teuer ist."

Einzig bei reinen Onlinebrokern scheint es möglich, dass das iTAN-Verfahren erhalten bleibt: "Konten, die keine vollwertigen Zahlungskonten sind, etwa Depotkonten, sind von der PSD II nicht berührt", heißt es bei SBroker, wo das iTAN-Verfahren genutzt wird. Auch beim Broker Flatex bleibt die iTAN-Card im Einsatz, wie eine aktuelle BÖRSE ONLINE-Umfrage unter rund 20 Banken und Brokern zeigt.

Auf Seite 2: 500 Euro gehen auch ohne TAN





500 Euro gehen auch ohne TAN



Übrigens müssen TANs künftig nicht nur bei der Transaktionsfreigabe, sondern in regelmäßigen Abständen auch beim Login ins Banking eingegeben werden - mindestens alle 90 Tage schreibt der Gesetzgeber vor. Hier bleibt noch abzuwarten, wie die Banken das konkret umsetzen. "Das wird eine Abwägung zwischen Sicherheit und Bequemlichkeit erfordern", sagt Marten Ahrens, Senior Produktmanager Banking bei der Comdirect.

Bei Überweisungen innerhalb bestimmter Grenzen können Verbraucher dagegen künftig ganz ohne Eingabe einer TAN auskommen. "Die TAN-Freiheit bei Überweisungen wird durch PSD II deutlich ausgeweitet - erlaubt sind dann TAN-freie Überweisungen bis 500 Euro", erläutert Ahrens. Doch das ist an Voraussetzungen geknüpft: Die Banken müssen in der Lage sein, ihre Risiken in Echtzeit zu bewerten. Außerdem müssen sie eine Schadensquote unterhalb eines gewissen Referenzwerts vorweisen. Daher ist noch offen, wie die Banken diesen Spielraum nutzen werden. Auch Überweisungen an vertrauenswürdige Empfänger aus einer Kontaktliste werden TAN-frei möglich sein.

Alle diese Maßnahmen sollen für mehr Sicherheit sorgen, aber auch die Bequemlichkeit erhöhen, wo es möglich erscheint. "Die deutschen Banken erwarten, dass die Zahl der Schadensfälle durch die neuen Vorschriften nochmals weiter sinken wird", sagt beispielsweise Consorsbank-Experte Johnson. Dennoch sollten Verbraucher natürlich auch weiterhin vor Abzockern auf der Hut sein. Denn Onlinebanking-Sicherheit "bleibt weiterhin ein Katz-und-Maus-Spiel".