Abo
  • IT-Karriere:

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 (PSD2) für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.

Artikel von veröffentlicht am
Die alten TAN-Listen sind bald zu entsorgen.
Die alten TAN-Listen sind bald zu entsorgen. (Bild: Martin Wolf/Golem.de)

Die alten Zettel für das Freigeben von Transaktionen im Online-Banking verlieren mit dem 14. September 2019 ihre Gültigkeit. Damit folgen die Banken der Zahlungsdiensterichtlinie 2 (PSD2), die eine höhere Sicherheit im Online-Banking fordert. Es gibt zwar offenbar ein paar Ausnahmen, so erlaubt etwa die Ing-Diba weiter die Verwendung von iTAN-Karten, solange kein Girokonto damit genutzt wird. Die meisten Banken schaffen die alten TAN-Verfahren aber ab.

Inhalt:
  1. Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
  2. Mobile-TAN und Chip-TAN
  3. Linkliste zu den TAN-Verfahren von Banken in Deutschland

Fortan können in der Regel beispielsweise iTAN-Kärtchen, wie die aus dem Titelbild, nicht mehr verwendet werden. Zwar ist das Verfahren an sich sicher, ein Angreifer müsste den Zettel schon stehlen. Doch der Faktor Mensch macht alte TAN-Verfahren dennoch zu einer Gefahr für das Geld.

Beliebt sind etwa Angriffe per Social Engineering. Dabei wird dem Nutzer etwa vorgegaukelt, er solle aus Gründen der Unterstützung der Servicemitarbeiter möglichst viele TAN auf einer Webseite eingeben. Mit solchen Überredungskünsten wird sich der Zugang zum Online-Konto gleich mitverschafft. Schreibt der Nutzer seine TAN fleißig ab und überträgt die Daten, räumen die Angreifer sein Konto leer. Gerade technisch wenig versierte Anwender fallen auf diese Tricks leider herein.

Solche Social-Engineering-Angriffe sollen mit den neuen Verfahren deutlich erschwert werden. Doch nicht alle sind gleich sicher, auch wenn die Banken nicht müde werden zu betonen, wie sicher das Online-Banking per se sei - egal welches Schutzverfahren genutzt werde. Die Banken vermeiden eine Wertung der unterschiedlichen Systeme, weswegen wir auf Nachteile der Verfahren hinweisen.

Die TAN-Alternativen

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart
  2. Medion AG, Essen

Es gibt viele alternative TAN-Verfahren, etwa mit einer TAN-App, mit SMS- oder Mobile-TAN, mit Chip-TAN oder per HBCI. Zu beachten ist, dass so manche Bank eigene Namen verwendet. Die TAN per App heißen etwa bei der Sparda-Bank Securego. Die Eigennamen können verwirren. Oft weiß der Kunde nicht sofort, welches Verfahren dahintersteckt.

Auch wir stellen nur die gängigsten vor. Am Ende des Artikels bieten wir eine Sammlung von Links mit weiterführenden Informationen einiger Banken an, meist werden lediglich die unterstützten TAN-Verfahren, nicht aber die Problematik zum 14. September 2019 beschrieben. Unseren Erfahrungen nach informieren manche Banken ihre Kunden auf dem Postweg oder innerhalb des Online-Bankings über die anstehende Umstellung. Neukunden wird der Zugang zum iTAN-Verfahren beispielsweise schon seit Jahren bei einigen Banken erschwert.

Risiken bei der TAN-App

Eine Möglichkeit ist etwa die Verwendung einer App auf einem Smartphone zur Generierung einer TAN, während das Online-Banking auf dem PC oder einem anderen Gerät durchgeführt wird. Idealerweise vermeidet der Anwender die Nutzung des Online-Bankings auf demselben Gerät, auf dem die TAN generiert wird. Sollte das System, etwa das Smartphone, kompromittiert sein, haben Angreifer sonst leichtes Spiel. Viele Banken sehen darin aber kein Sicherheitsproblem. Die Berliner Volksbank bietet beispielsweise eine Komfortfunktion: Dort wird die in der App generierte TAN gleich an die Online-Banking-Software auf demselben System weitergeleitet. Dann ist es umso wichtiger, dass der Anwender sein Smartphone vernünftig schützt.

Man sollte dabei nicht unterschätzen, dass mancher biometrische Geräteschutz ausgehebelt werden kann, und eine Geräte-PIN am Sperrbildschirm bekommt man schnell mit einem Blick über die Schulter mit. Im Unterschied zu Geldautomaten oder den meisten Kassenterminals fehlt der Sichtschutz. Online-Banking unterwegs oder möglicherweise unter einer Überwachungskamera sollten Anwender tunlichst vermeiden.

Mobile-TAN und Chip-TAN 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 3,99€
  2. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  3. 17,99€
  4. 4,99€

IchBIN 23. Jul 2019

Naja, ich habe jetzt herausgefunden, dass es wohl zwei verschiedene Foto-TAN-Verfahren...

treysis 23. Jul 2019

Wer kein Handy hat, kann auch keine mTAN empfangen. Wer kein Handy braucht, der hat...

IchBIN 23. Jul 2019

Interessant! Bei meinem ist es so, dass er beim Einschalten (=Karte reinstecken) auch...

LinuxMcBook 23. Jul 2019

MITM sagt dir anscheinend nichts.

LinuxMcBook 22. Jul 2019

Ich nutze bei einer Sparkasse jetzt schon seit bald 10 Jahren Chip-TAN. Und dort muss...


Folgen Sie uns
       


Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /