Wer Online-Banking betreibt, kann schon bald seine gedruckte TAN-Liste in den Schredder packen. Denn ab 14. September sind Freigaben durch iTAN nicht mehr erlaubt. Die über Jahrzehnte üblichen Papierlisten – von den Banken an die Kunden verteilt -, werden in ganz Europa abgeschafft.
Wie ich darauf aufmerksam wurde? Meine Hausbank hat beim Einloggen ins Onlinekonto die Umstellung angekündigt. So dürfte es den meisten Kunden gehen: Sie bekommen einen Hinweis auf die Umstellung – ohne jemals zuvor etwas darüber gehört zu haben. Besonders gut und ausführlich informiert haben die Banken nicht gerade.
TAN-Liste geht in den Schredder
Die Fakten: Selbst beim Einloggen ins Onlinekonto ist künftig eine Zwei-Faktor-Authentifizierung erforderlich. Die stets gleiche PIN reicht nicht mehr aus. Stattdessen müssen Kunden künftig eine dynamisch erzeugte TAN eingeben. Die erzeugt ein spezielles Gerät wie ein TAN-Generator. Oder der Kunde muss mit seinem Handy eine PhotoTAN erzeugen (Pixelhaufen auf dem Bildschirm mit dem Smartphone scannen). Biometrische Verifikation ist auch erlaubt – also durch Fingerabdruck oder Gesichts-Scan.
Denkbar auch die mTAN – die TAN, die per SMS kommt. Aber die kostet die Banken Geld. Aufgepasst, dass sie die Gebühren nicht (mit saftigen Aufschlägen) weitergeben.
Wer Geld überweisen oder überhaupt irgendetwas in seinem Konto bewegen will, muss diese Prozedur wiederholen. Jede Transaktion muss jeweils durch zwei Faktoren wie Wissen (etwa Geheimnummer/PIN), Besitz (Smartphone oder Karte) oder Sein (biometrische Merkmale wie Fingerabdruck) bestätigt werden. Da kommt also deutlich mehr Aufwand auf uns zu: Weil wir uns schon beim Einloggen ins Konto aufwändiger ausweisen müssen.
Zumindest am PC. Am Mobilgerät geht es einfacher – durch Fingerabdruck oder Gesichts-Scan, wo möglich. In Mobilgeräten sind biometrische Login-Verfahren schon deutlich weiter verbreitet als am PC.
TANs entstehen künftig im Smartphone – oder werden per SMS zugeschickt
Homebanking und Co. werden sicherer
Aufwändiger wird mittelfristig auch das Bezahlen mit Kreditkarte im Netz, denn auch hier schreiben EU-Regeln künftig die aufwändigere Bestätigung vor. Das kommt noch nicht am 14. September, aber bald. Jede einzelne Transaktion will dann bestätigt werden. Einfach nur Kreditkarten-Nummer eingeben – das reicht nicht mehr. Besser, wir gewöhnen uns daran.
Eine Umstellung ist immer etwas mühsam. Trotzdem erscheint mir diese neue Vorgehensweise richtig: Sie macht das Online-Banking sicherer.
Außerdem gewöhnt es die Menschen an die Zwei-Faktor-Authentifizierung in einem Bereich, der sehr weit verbreitet ist: das Homebanking. Und diese Umstellung könnte die deutlich bessere Methode zum Einloggen generell auch in anderen Bereichen wie E-Mail, Online-Shops und anderen relevanten Onlinediensten beflügeln. Das wäre dringend nötig. Denn die Nutzername/Passwort-Methode hat sich überlebt – und ist alles andere als sicher.
17 Kommentare
Kommentar Funktionen
Wurde auch langsam Zeit ;)
Mit der TAN-Liste bin ich über viele Jahre sehr gut gefahren. Da Besitz und Nutzung eines Smartphones für mich undenkbar sind, habe ich einen Photo-TAN-Generator erworben. Damit bin ich so autark wie mit der TAN-Liste, nur leider nicht kostenlos. Das Ende der TAN-Liste beruht meines Erachtens auf der Tatsache, dass die “armen” Banken Kosten sparen wollen, bevor sie dank der aus meiner Sicht naiven Kartenzahler Negativzinsen einführen.
Scheinbar ändert sich ja für die, die m-Tan nutzen nicht viel, die Info, die ich von meiner Bank habe, es wird zu den sms-TAN alle 90 Tage eine zusätzliche Tan oder ähnliches vergeben. Zudem nutze ich für meine Bankgeschäfte ausschließlich Linux, da fühle ich mich doch noch ein wenig sicherer. Was für mich ein NoGo ist, das Smartphone zu nutzen.
Sicherer? Durch biometrische Daten? Der Witz ist gut.
Man könnte weiterhin per SMS eine TAN zusenden. Ist den Banken aber zu teuer.
Im Endeffekt wird nichts sicherer aber die Banken sparen viel Geld.
Selbst auf mehrfache Nachfrage wollte mir meine Bank nichts zur Haftung sagen, dass ich nun eine App nutzen soll.
nach iTAN ist mTAN das unsicherste Verfahren.
–
chipTAN und photoTAN sind deutlich sicherer. Warum siehe Kommentare weiter unten.
–
Bezüglich biometrische Verfahren müsste ich mich einlesen, doch die Verfahren werden über die Zeit auch besser und bevor man etwas zügig ablehnt basierend auf alten Informationen ist es ratsam sich zu erkundigen wenn ein solches Verfahren wirklich aktuell wird.
Erklaeren sie doch mal wie das bei Leuten funktionieren soll die bereits ihre IT seit 1991 auf der hoechsten Sicherheitsstufe laufen haben, also keine Software von Mikrosoft verwenden sondern Linux und die ihr Handy selbstverstaendlich gerootet haben damit man Google die Augen verbinden kann.
Das ist sicher eine gute Idee. Das Problem dabei, in allen Ländern in der EU ist die Mobilfunkverbindung gut. Nur in Deutschland… Ich wohne in Düsseldorf. Nach dem Umzug nun im zweiten Komplettfunkloch (alle Provider) in Düsseldorf. Ja in der Grosstsadt. Wenn mir jemand eine SMS schickt für die zwei Faktoren ID, dann muss ich entweder auf die Strasse rennen (Fun by Regen) oder auf den Dachboden (2 Etagen) und dann zurück um im Zeitrahmen den Code einzugeben. Super. Und das beste, so geht es hnier im Stadtteil mehreren tausend Einwohnern. Es gibt auch nur eine Antenne für alle Provider.
Im europäischen Ausland habe ich überall – wirkllich überall – guten Empfang. Mindestens um eine SMS zu erhalten, nur in Deutschland sehe ich häufig die Nachricht “Kein Netz”.
P.S. Das gibt es auch in Köln – da arbeite ich.
FIDO2 als Lösung des “Bequemlichkeitsproblems” beim zukünftigen Einloggen scheint in der kleinen grauen Welt der Banken überhaupt keine Rolle zu spielen – oder wurde das hier gar nicht recherchiert??
Doch, es wurde – aber es spielt keine Rolle. Leider. Bin selbst auch ein Fan von Fido2. Es müsste eigentlich den EU-Bestimmungen genügen, sich auf diese Weise auszuweisen.
Immer schön agil etwas rauspusten, denn wir sind ja so performant. Wir wollten alle die damals so schöne neue IT-Welt. Mittlerweile geht einem der kranke Innovationsdruck und die Verkomplizierei nur noch auf den Zeiger. Ach shit, den gibt’s ja gar nicht mehr.
Guter Punkt (das mit dem Zeiger)…. ;-)
Da haben sich wieder ganz besonders schlaue Menschen etwas ganz besonders Gutes ausgedacht! Mir hat noch niemand das Sicherheitsplus durch die Abschaffung der iTAN-Listen nachvollziehbar erklären können – wenn man jetzt einmal von den Deppen absieht, die die Listen einscannen oder gar abtippen und im Rechner speichern.
Alles Unfug! Das ganze Theater hätte man sich sparen können. Frustrierend ist, dass man als online-banking-Nutzer diesem Blödsinn machtlos gegenübersteht und nur noch wählen kann, welche Bank das nach dem persönlichen Geschmack am wenigsten nervende System bietet.
Mein Verständnis:
–
iTan: Z.B. ein Trojaner kann sich zwischen Deiner Transaktion und der Bank setzen. Der Trojaner wandelt die Transaktion in eine andere um, und initiiert eine iTan Abfrage bei der Bank. Dir wird dann Deine Transaktion angezeigt, aber mit der Abfage nach der iTan für die kriminelle Überweisung. Die “falsche” iTan wird eingegeben und das Geld geht auf ein zwielichtiges Konto und verschwindet.
–
chipTan, photoTan … : Der angezeigte Code enthält chriffriert auch ein “Geheimnis” der Bank, welches die Echtheit Deiner Transaktion bestätigt. Oder anders jemand der sich zwischen Dir und Deine Transaktion klemmt, kennt nicht das Geheimnis der Bank. Dieser kann somit nicht mehr ohne weiteres Deine Transaktion durch eine andere ersetzen.
–
=> Fazit: Ein echter Sicherheitsgewinn.
… wobei die Banken ihre “Sicherheit” sehr unterschiedlich definieren. TANs per SMS halte ich persönlich für ziemlich sicher, insbesondere wenn das eigentliche Banking nicht auf dem Handy, sondern auf einem von der SMS unabhängigen Gerät durchgeführt wird. Also zwei unterschiedliche Geräte, zwei unterschiedliche Übertragungswege.
Die ING-DIBA stellt deshalb von iTAN auf mTAN um.
Umgekehrt schafft die Postbank (i.e. Deutsche Bank) nächste Woche die mTAN für Privatkunden ab, weil das Verfahren angeblich der PSD2 nicht genügt. Hier bleibt als Alternative nur ein Bankkartenleser, der auf Anforderung eine dynamische TAN generiert. Kostet natürlich extra. Aber immerhin zwei unterschiedliche Geräte, zwei unterschiedliche Übertragungswege.
Als Alternative empfehlen beide Banken, die jeweilige App zu benutzen. Was soll daran sicherer sein? Dann hat man EIN Gerät, EINEN Übertragungsweg, sprich EINE zu manipulierende Stelle. Ist die App einmal installiert, bleibt als einzige Sicherheit ein Passwort. Sicher?
Siehe meinen Kommentar für Thomas.
–
mTAN ist sicherer als iTAN da die Rückübermittlung der TAN nicht mehr auf dem gleichen Weg erfolgt wie die Abfrage. Das “Übersetzen” der TAN für kriminelle Zwecke ist damit schwerer geworden, aber meines Wissens nicht unmöglich und wurde wohl schon in der Praxis ausgenutzt.
–
chipTAN, photoTAN sind sicherer da die TAN Generierung erst lokal und mit zu Hilfe nahme eines chiffrierten “Geheimnisses” der Bank erfolgt und eines zweiten Gegenstandes den nur Du besitzen kannst (Dein Smartphone, Deine Bankkarte).
Mich ärgern die neuen Regelungen sehr. Mag ja sein, dass Online-Banking dadurch sicherer wird, aber zu Lasten des Kunden und der Nutzbarkeit.
Ich muss z. B. jetzt, um eine Überweisung zu tätigen, erst alle Daten ins Online-Formular eingeben, dann meine EC-Karte in den TAN-Generator stecken, dort die PIN eingeben, die mir das Online-Banking sagt, dann noch einmal den Betrag und die letzten 10(!) Stellen der IBAN, danach erhalte ich eine TAN, die ich im Online-Banking eingeben muss. Sorry, aber da kann ich fast schon zur Bank fahren und den Überweisungsvordruck einwerfen.
Und demnächst muss ich den gleichen Kladeradasch schon nur für die Anmeldung durchführen? Und bei jeder Zahlung?
Da hat sich Brüssel wirklich Blödsinn ausgedacht. Sie hätten lieber Wege finden sollen, das auf Bankseite sicherer zu machen.
Meine Bank bietet leider keine SMS-TAN an. Und die App funktioniert bei mir nicht.
(BTW Nutzerfreundlichkeit: Capchas sind auch doof, aber stattdessen nach dem Ergebnis von 21 x 23 zu fragen, ist auch nicht nutzerfreundlich).
Ich kenne Deine Bank nicht. Ich persönlich verwende sowohl chipTAN als auch photoTan. Beides ist sehr bequem.
–
Anweisung für die Bank aufgeben. Danach wird ein optischer Code angezeigt. Diesen mit dem Smartphone (photoTAN) oder Kartenleser (chipTAN) mit eingesteckter Karte, scannen. Danach wird die TAN angezeigt. Eingeben, fertig.
–
Es liegt somit nicht an der Abschaffung der iTAN sondern an der Bank wenn diese keine der existierenden Benutzerfreundlichen Alternativen anbietet.