Diese Online-Banking-Methoden sind die sichersten

Die alte TAN-Liste beim Online-Banking wird zunehmend abgelöst, weil sie als unsicher gilt. Die Alternativen sind allerdings unterschiedlich gut. Welche Verfahren bequem und sicher sind.

Online Banking
Foto: Infografik Die Welt

Am Anfang war die Liste.. Wer sein Geld online verwaltete, besaß einen langen Zettel mit TANs – Transaktionsnummern –, und bei jeder Buchung tippte er eine davon ein. Doch so einfach ist es längst nicht mehr. Mit den Listen hatten Betrüger zu leichtes Spiel, an Bankdaten heranzukommen und Konten leer zu räumen. Es reichte oft, dass sie sich in einer E-Mail als die Bank des Kunden ausgaben und um ein paar TANs baten. Bei neueren Verfahren wird die TAN deshalb erst kurz vor der Transaktion generiert. Dazu setzen die Banken auf Technik.

Das wohl schnellste Verfahren ist die TAN per Fingerabdruck. „BestSign“ macht es möglich, doch das klappt nur bei Touch-Geräten mit Fingerabdrucksensor – und es gibt BestSign bislang nur bei der Postbank. Verbreiteter ist die sogenannte chipTAN. Ein flacher, handflächengroßer Generator errechnet dabei die Transaktionsnummer. Sobald der Kunde am Computer eine Überweisung startet, erscheint auf dem Bildschirm ein schwarzes Feld mit flackernden weißen Balken.

ChipTAN ist sicherer, aber nicht immer ohne Probleme

Was Sie beim Online-Banking beachten müssen
  • Grundsätze
  • Fehler
  • Links vermeiden

Der Kunde steckt seine EC-Karte in den Generator und hält ihn anschließend an das schwarze Feld. Auf dem Display des Generators leuchtet nach einigen Sekunden die TAN auf – wenn alles klappt. Das Verfahren gilt nämlich zwar als eines der sichersten, funktioniert aber nicht immer reibungslos. So wird die Übertragung manchmal unterbrochen, sodass der Generator keine Nummer liefern kann. Mehrere Banken haben Internetseiten und Hotlines eingerichtet, die dann bei der Problemlösung helfen sollen.

Neben allgemeinen Tipps wie „Den Bildschirm heller stellen“ und „Die Größe des flimmernden Kastens anpassen“ verrät etwa ein Anruf beim Servicezentrum der Nassauischen Sparkasse, dass man die Flacker-Geschwindigkeit des Strichcodes anpassen kann. Ein Klick auf den Balken ganz links verlangsamt das Flackern, ein Klick rechts beschleunigt es. Klappt die Übertragung trotzdem nicht, muss der Kunde auf den Generator-Komfort verzichten. Er muss dann Empfänger-IBAN und Überweisungsbetrag von Hand in den Generator eintippen, um die TAN zu erhalten.

PhotoTAN funktioniert besser

Weniger problematisch ist die photoTAN. Sie funktioniert ähnlich wie die chipTAN. Doch hier scannt der Kunde keinen flackernden Strichcode, sondern ein unbewegtes Bild, ähnlich einem QR-Code. Der Vorteil für Nutzer, die ihr Handy immer dabeihaben: Auch eine App kann die photoTAN scannen. Dadurch spart sich der Kunde auch die zehn bis 20 Euro, die ein Generator in der Regel kostet. Allerdings ist dieses Verfahren noch nicht weitverbreitet, in Deutschland bieten es nach den Angaben eines Generator-Herstellers bislang die Commerzbank, deren Direktbank-Tochter Comdirect und die Deutsche Bank an.

Wer es noch simpler haben möchte, kann sich bei den meisten Geldhäusern die TAN auch per SMS übermitteln lassen. SmsTANs – auch mobileTANs und mTANs genannt – bieten viele Banken kostenlos an. Andere – wie etwa einige Volksbanken und Sparkassen – berechnen aber neun oder zehn Cent pro SMS. Sicher sei die smsTAN allerdings nur, so Kay Görner von der Verbraucherzentrale Sachsen, wenn für die TAN und die Überweisung zwei unterschiedliche Geräte benutzt würden. Ein Kunde sollte die TAN also nicht mit dem gleichen Handy empfangen, mit dem er eine Überweisung gestartet hat. Das Gleiche gilt für die photoTAN, wenn der Kunde sie mit dem Handy scannt.

PushTAN ist auch bei nur einem Gerät sicher

Mit dem Smart-Phone

So geht Mobile-Banking sicher

Für Nutzer, denen zwei Geräte zu lästig sind, kommt die pushTAN infrage. Hier kann der Kunde seine TAN gefahrlos auf demselben Smartphone empfangen, auf dem er auch die Transaktion gestartet hat. „Bei der pushTAN werden die Kanäle über Verschlüsselung getrennt“, erklärt Tanja Beller vom Bundesverband deutscher Banken das Verfahren. Das entspreche den Leitlinien der Europäischen Bankenaufsicht. Die pushTAN wird bisher vor allem von Sparkassen und der ING-Diba angeboten. Volks- und Raiffeisenbanken wollen das Verfahren bald einführen, sie nennen es allerdings „SecureGo“.

Die technischen TAN-Verfahren sind ein deutlicher Fortschritt gegenüber alten Verfahren. Die modernen Verfahren generieren in der Regel TANs, die nur einmalig und nur für sehr kurze Zeit gültig sind. Es lohnt sich also kaum noch, TANs über eine Phishingmail zu erfragen. Andere Tricks stellen nach wie vor eine Gefahr dar. Zum Beispiel sogenannte Man-in-the-middle-Angriffe. Dabei schaltet sich der Betrüger zwischen Kunde und Bank. Er manipuliert die Auftragsdaten und spielt beiden Seiten vor, das jeweils richtige Gegenüber zu sein.

Wie sich Kunden gegen Man-in-the-middle-Angriffe wappnen

Überweist ein Kunde also beispielsweise Geld an einen Freund, dann kann der Betrüger die Überweisung manipulieren, noch bevor die Informationen an den Sicherheitsserver der Bank gelangen. So kann der Betrüger den Überweisungsbetrag erhöhen und etwa auf ein Konto im Ausland umleiten. Gegen einfache Man-in-the-middle-Angriffe kann der Kunde sich wehren: Er sollte vor jedem Bestätigen einer Überweisung Kontonummer und Überweisungsbetrag noch einmal überprüfen. Wenn er dabei feststelle, dass die Daten verändert wurden, dann solle er die Transaktion abbrechen, warnt ein Mitarbeiter des Hessischen Datenschutzbeauftragten. Er betont auch: „Kein TAN-Verfahren bietet eine hundertprozentige Sicherheit.“

Doch wenn Kunden ihre Daten überprüfen und getrennte Geräte für TAN und Überweisung nutzen, können sie die Gefahr bei allen aktuellen Verfahren erheblich einschränken. Bei der Entscheidung für eine Variante spielt vor allem eine Rolle, ob der Kunde sein Handy für Transaktionen nutzen möchte oder nicht – und natürlich, ob die Hausbank das gewünschte Verfahren überhaupt anbietet.