Zwei neue Systeme sollen elektronische Überweisungen sicherer und bequemer machen/ Banken verabschieden sich allmählich vom alten Verfahren mit gedruckten Transaktionsnummern
Cyberkriminelle werden immer erfinderischer. Deshalb tüfteln die Spitzenverbände der deutschen Kreditwirtschaft seit Jahren daran das Online-Banking sicherer zu machen. „MobileTAN“ und „chipTAN“ heißen die neuesten Verfahren, die Kunden vor Gaunern bei elektronischen Bankgeschäften schützen sollen.
3.500 Euro im Schnitt erbeuten Betrüger, wenn sie sich illegal Zugriff auf ein Konto in der digitalen Welt verschaffen. Fünf Prozent der Internet-Nutzer – das sind 2,5 Millionen Deutsche – haben schon einen finanziellen Schaden durch Datendiebstähle oder Schadprogramme erlitten. Das meldete der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM). Schon Mitte 2009 erklärte das Bundeskriminalamt (BKA) das übliche iTAN-Verfahren als unsicher. Für Kriminelle sei das System keine Hürde mehr hieß es.
iTAN:
Das Kürzel iTAN steht für „indizierte Transaktionsnummer“ und bedeutet, dass die Bank beim Abschluss einer Überweisung im Internet nach einer bestimmten Transaktionsnummer (TAN), quasi der Unterschrift des Kunden, fragt. Die TAN erhalten Nutzer von ihrer Bank –in Form einer Liste und durchnummeriert. Die gedruckten Zahlenreihen werden schon bald der Vergangenheit angehören. Ende 2012 ist wahrscheinlich Schluss.
Schon im Januar hat die Postbank den Versand der iTAN-Listen eingestellt. Ab Mitte April ist die komplette Abschaltung von iTAN vorgesehen. Dann sollen Kunden über die neuen Verfahren mobileTAN und chipTAN ihre elektronischen Bankgeschäfte tätigen. Das können sie auch jetzt schon. Auch andere Kreditinstitute wie zahlreiche Sparkassen und Volksbanken bieten die Verfahren an, teils unter anderem Namen. Und so funktionieren sie:
chipTAN:
Bei chipTAN (auch Sm@rtTAN plus oder chipTAN comfort) benötigt der Nutzer ein spezielles Lesegerät, den so genannten TAN-Generator, der die TAN generiert. Hat der Kunde den Überweisungsauftrag am heimischen Computer eingegeben, hält er das handliche Gerät mit eingesteckter EC-Karte vor den Bildschirm, auf den die Bank einen Schwarzweiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungs- und weitere Daten die zur Berechnung der TAN notwendig sind und wird über optische Sensoren vom Gerät eingelesen. Anschließend zeigt der Generator den Überweisungsbetrag und das Konto auf einem kleinen Display an. Anschließend muss der Kunde sämtliche Daten bestätigen. Erst dann erhält er die TAN. „Eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen“, sagt Julia Topar, Pressesprecherin beim Bundesverband deutscher Banken (BdB).
mobileTAN:
Bei der Variante mobileTAN (auch mTAN oder smsTAN) wird dem Online-Banking-Kunden nach Übersendung der Überweisung im Internet von der Bank per SMS eine TAN auf sein Mobiltelefon gesendet. „Der Auftrag muss mit dieser TAN – deren Gültigkeitsdauer zeitlich begrenzt ist – bestätigt werden“, erläutert Sprecherin Topar. Vorteil: Man muss für Überweisungen unterwegs keine TAN-Liste dabei haben. Auch der Verlust des Mobiltelefons wird im Regelfall eher vom Nutzer bemerkt, als der Verlust der Bankkarte oder des TAN-Bogens.
So sicher sind die Systeme:
„ChipTAN und mobileTAN stellen eine Weiterentwicklung der bewährten TAN-Verfahren in punkto Sicherheit, Nutzerkomfort und Akzeptanz dar“, sagt BdB-Sprecherin Topar. Das besondere an mobileTAN und chipTAN sei, dass die Transaktionsnummer jeweils für eine bestimmte Transaktion errechnet werde. Für Betrüger sei sie in der Regel wertlos. „Durch den SMS-Versand der TAN gilt mobileTAN als sicherer als iTAN“, so Topar. Einen Haken hat das System mit dem Mobiltelefon dennoch. Es verliert seine Sicherheit, wenn der Kunde für die Online-Überweisung dasselbe Mobiltelefon verwendet, an das die Bank die SMS mit der TAN schickt.
So schnell geht die Umstellung:
Der Deutsche Sparkassen- und Giroverband (DSGV) rechnet damit, dass das Gros der Sparkassen bis Ende des Jahres zumindest eines der beiden neuen Sicherheitsverfahren anbietet. Das Rennen wird dabei wohl eher die Variante mit dem um die zehn Euro teuren TAN-Generator machen. „Zwei Drittel der Kunden, die die neuen Verfahren verwenden, nutzen chipTAN“, so Michaela Roth, Pressesprecherin des Verbandes. Verbindlich sind die Systeme Verfahren allerdings nicht. Jedes Bankinstitut kann selbst entscheiden, ob und welches der Verfahren es anwendet.