Die TAN auf Papier stirbt aus

Nürnberg - In den nächsten Monaten stellen fast alle Banken und Sparkassen ihr Online-Banking um. Die Transaktionsnummern (TAN) in Papierform werden dann Ende 2011 der Vergangenheit angehören: Damit der Datenfluss bei Überweisungen nicht von Hackern entschlüsselt und dann Missbrauch getrieben werden kann, werden die TAN über ein Handy eingeholt oder über einen eigenen Generator für jede Überweisung im Internet erzeugt. Die neuen Verfahren bieten mehr Sicherheit, doch es können auch Kosten für den Kunden entstehen.

Das klassische Online-Banking läuft nach dem PIN/TAN-Verfahren ab. Dabei erhält der Kunde von seiner Bank sowohl eine PIN (Persönliche Identifikations-Nummer) als auch eine Liste mit TAN. Die PIN gewährleistet den Zugang zum persönlichen Online-Konto, während mit der TAN die Transaktion bestätigt wird.

„Die Rechner und Sicherheitssysteme wurden in den vergangenen Jahren immer besser, doch die Kriminellen schlafen nicht“, sagt Achim Eck vom Online-Vertrieb der Sparkasse. Immer wieder fielen Kunden auf Hacker mit gefälschten Internetseiten herein und gäben Transaktionsnummern preis. „Die schwächste Stelle ist nicht die Technik, sondern der Mensch“, so Eck.

Deshalb sei die Sparkasse dazu übergegangen, entweder per SMS für jede Transaktion eine Transaktionsnummer zu verschicken, oder aber der Kunde muss über ein sogenanntes eTAN- oder Chip-TAN-Gerät eine Nummer erzeugen: Die EC-Karte mit Chip wird in ein kleines Gerät geschoben und es wird eine Nummer errechnet. Basis ist ein auf dem Chip hinterlegter, individueller Algorithmus. Diese TAN muss bei dem Online-Bankgeschäft in den Computer eingegeben werden, damit der Bankrechner die Transaktion akzeptiert.

Der Vorteil der neuen Systeme liegt für Eck auf der Hand: Listen mit TAN werden nicht mehr benötigt, was Sicherheit bietet. Ein eTAN-Gerät sei übrigens für alle Familienmitglieder einsetzbar, so Eck. Es funktioniert auch mit Karten unterschiedlichster Banken. Unterschiede gibt es aber noch beim Preis: Die Sparkasse verlangt wie die PSD-Bank derzeit neun Cent für jede SMS-TAN. Beide überlegen aber, ob die Leistung nicht doch noch kostenlos angeboten wird. Bei der Postbank kostet eine SMS-TAN nichts, bei der Sparda-Bank sind die ersten fünf SMS-TAN im Monat umsonst. Während die Sparkasse Nürnberg für ein Chip-TAN-Gerät 18,80 Euro inklusive Versand berechnet, verlangt die Sparkasse Erlangen nur 9,90 Euro. Allerdings muss man es am Schalter abholen. Die Postbank verlangt 11,90 Euro für ein Gerät und Cortal Consors gibt es kostenlos ab. Bei den Raiffeisenbanken überlegt man noch. Doch die Umstellung wird dort auch in den nächsten Monaten beginnen. Bis Ende des Jahres dürften TAN auf Papier der Vergangenheit angehören.

Die HypoVereinsbank (HVB) arbeitet bereits seit knapp zwei Jahren mit dem mobilen SMS-TAN-Verfahren. „Dadurch konnten wir ein dichtes Sicherheitsnetz spannen“, sagte ein Sprecher des Münchner Bankhauses. Die Kunden könnten so sicher gehen, dass ein Auftrag „nicht aus dem Internet gefischt und abgewandelt werden kann“. Denn die TAN werde explizit für den jeweiligen Auftrag generiert – in „Echtzeit“ sozusagen. Wird die Überweisung oder der Dauerauftrag korrigiert, muss eine neue TAN erstellt werden. Diese landet jeweils binnen vier, fünf Sekunden auf dem Handy, wie der HVB-Sprecher erklärt. „Gänzlich kostenfrei.“

Wer bei der HVB Online-Banking nutzt – vier von fünf Überweisungen werden am PC getätigt –, könne Geldsummen ab 1000 Euro ohnehin nur noch mit dem mobilen TAN-Verfahren überweisen. „Wie sicher das ist, lässt sich auch daran ablesen, dass wir im Internet keine nennenswerten Schadensfälle zu verzeichnen haben“, sagte der HVB-Sprecher.

Eck von der Sparkasse rät, dass sich die Nutzer genau überlegen sollen, für welche Nutzungen sie ihre Konten beim Online-Banking freischalten: „Der Zahlungsverkehr für das Inland reicht meistens.“ Auch müsse das Betriebssystem des eigenen Computers immer auf Sicherheitslücken hin überprüft werden. Die Zahl der Online-Banker steigt jedenfalls kontinuierlich an.