Auslaufmodell mTAN Das ändert sich beim Onlineshopping

Mitte September tritt eine neue EU-Zahlungsrichtlinie in Kraft. Die sieht vor, dass sich Kunden beim Bezahlen und bei Bankgeschäften im Netz zusätzlich identifizieren müssen. Dazu benötigen sie Apps oder TAN-Generatoren.

2FA per TAN-Generator - kein Jugendslang, sondern eine wichtige Sicherheitsvorkehrung fürs Onlinebanking
David Ebener / DPA

2FA per TAN-Generator - kein Jugendslang, sondern eine wichtige Sicherheitsvorkehrung fürs Onlinebanking


Wer häufig im Internet kauft oder bucht, hat es wahrscheinlich schon bemerkt: Die Kreditkartennummer, die Angaben zur Gültigkeit und der dreistellige Prüfcode genügen beim Bezahlen oft nicht mehr. Immer mehr Banken verlangen eine weitergehende Authentifizierung über einen Code, der in einer App generiert wird oder als SMS aufs Smartphone (mTAN) kommt. Damit können Banken die Vorgaben der neuen EU-Zahlungsrichtlinie (PSD 2) erfüllen, die am 14. September in Kraft tritt.

Die Richtlinie sieht sowohl fürs Onlineshopping als auch fürs Onlinebanking vor, dass sich Kunden beim Bezahlen und bei Bankgeschäften im Netz aus Sicherheitsgründen zusätzlich identifizieren müssen - mit der sogenannten Zwei-Faktor-Authentifizierung (2FA).

"Wichtig ist dabei, dass die Faktoren aus verschiedenen Kategorien stammen, also eine Kombination aus eigenem Wissen wie Passwort oder PIN, Dingen im persönlichen Besitz wie Chipkarte oder einem TAN-Generator oder Biometrie, etwa dem eigenen Fingerabdruck, verwendet wird", erläutert Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Was bedeutet das für Kunden, die kein Smartphone benutzen, aber weder auf Onlineshopping noch aufs Onlinebanking verzichten wollen? Kein Problem, versichert Tanja Beller vom Bundesverband deutscher Banken (BDB): "Es gibt verschiedene Hardware-TAN-Generatoren, zum Beispiel Chip-TAN-Generatoren oder auch Photo-TAN-Generatoren." Diese kleinen Geräte muss man sich allerdings erst besorgen. Aber auch das mTAN-Verfahren, bei dem der Code per SMS an jedes beliebige Handy geschickt werden kann, bleibe bei vielen Banken erhalten.

mTAN per SMS nur noch als Back-up-Lösung

Welche Systeme wann angeboten oder abgeschafft werden, bleibt allein dem jeweiligen Kreditinstitut überlassen. Im Deutschen Sparkassen- und Giroverband etwa seien 384 Sparkassen organisiert, die eigenständig am Markt auftreten, betont deren Sprecher Thomas Rienecker. Und der BDB verweist ebenso auf die einzelnen Häuser wie der Bundesverband der Deutschen Volks- und Raiffeisenbanken (BVR).

"Wir empfehlen allen Kreditinstituten, die Einmalpasswörter per SMS als Back-up für Kunden ohne Smartphone weiter anzubieten", sagt Mastercard-Sprecherin Juliane Schmitz-Engels. Die Lage sei aber unübersichtlich, weil es selbst innerhalb von Gruppen nicht immer einheitlich zugehe. Für die Sparkassen seien etwa zwei Dienstleister tätig: Einer verzichte künftig auf mTAN, der andere behalte sie bei.

Das BSI rät von mTAN ab, weil SMS kein sicherer Kanal für die Übertragung sind. TAN-Generatoren, die nach Einschätzung der Behörde höchste Sicherheit bieten, müssen allerdings meist von den Bankkunden bezahlt werden. Für jede mTAN wird ein meist zweistelliger Centbetrag fällig.

Sie werden bislang auch fast nur fürs Onlinebanking eingesetzt, nicht aber für Zahlungen beim Onlineshopping. Die Commerzbank gehört zu denen, die das ändern wollen. Ihr Photo-TAN-Generator (30 Euro) wird einem Sprecher zufolge vom 14. September an nicht mehr nur TAN fürs Onlinebanking erzeugen, sondern auch solche für Onlinezahlungen. Kunden mit Smartphone können natürlich auch weiter eine App nutzen.

Banken informieren nicht immer über Alternativen zur App

Das BSI rät allerdings von der Zwei-Faktor-Authentifizierung und Onlinebankgeschäften auf demselben Gerät ab - zumindest solange das genutzte Smartphone über keinen Sicherheitschip (Secure Element) verfügt, über den die Identifizierung sicher gekapselt ablaufen kann.

Denn "grundsätzlich ist es immer riskanter, wenn Kriminelle nur ein Gerät unter Kontrolle bringen müssen", erläutert BSI-Sprecher Gärtner. Dieser Empfehlung arbeiten jedoch manche Kreditinstitute regelrecht entgegen. "Auf ein und demselben Phone: Banking und TAN", bewirbt etwa eine Sparkasse im Google Play Store ihre App.

Auch Christian Urban von der Verbraucherzentrale Nordrhein-Westfalen sieht Banking und 2FA auf einem Gerät kritisch: "Viele Banken bieten Alternativen zur App." Allerdings würden diese an den Hotlines nicht immer kommuniziert und seien auf den Homepages teils nicht einfach zu finden. "Wenn eine Bank das von Ihnen bevorzugte TAN-Verfahren nicht oder nicht mehr anbietet, sollten Sie über einen Wechsel nachdenken und dies auch gegenüber dem Berater deutlich machen", rät Urban.

Manche Verbraucher wiederum wären bereit, eine Banking- oder 2FA-App zu installieren, dürfen es aber nicht: Auf gerooteten Mobilgeräten erlaubt die Kreditwirtschaft aus Sicherheitsgründen keine Installation und Nutzung solcher Apps. Diese Haltung unterstützt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), weil die weitgehenden Rechte, die ein Nutzer auf einem gerooteten Smartphone hat, zum Einfallstor für Schadsoftware werden kann.

Ähnliches gilt für Geräte mit älteren beziehungsweise veralteten Android-Versionen. Wann eine Android-Version nicht mehr sicher sei, lasse sich angesichts der Vielzahl von Herstellern und Typen aber nicht pauschal sagen. Ein Label, mit dem IT-Sicherheit signalisiert und damit bei der Kaufentscheidung berücksichtigt werden könne, sei in Vorbereitung, sagt BSI-Sprecher Matthias Gärtner. "Momentan können wir nur allen Kunden raten, ihre Geräte upzudaten, und an die Hersteller appellieren, Sicherheitslücken schnellstmöglich zu schließen."

Clemens Schöll, dpa/pbe



insgesamt 63 Beiträge
Alle Kommentare öffnen
Seite 1
bebau 01.08.2019
1.
Ich habe das photoTAN Verfahren der Raiffeisenbank und bin sehr zufrieden. Für jede Überweisung muss ich einen farbigen QR-Code mit dem Generator (15?) scannen. Der benötigt dazu meine EC-Karte, auf der die eigentliche Entschlüsselung stattfindet. Diese ist der einzige Ort auf der Welt, wo der Schlüssel gespeichert ist. Da das Gerät keine Internetverbindung hat, kann es auch nicht gehackt werden. Auch ein Man-in-the-Middle Angriff funktioniert nicht. Dabei bringt ein Angreifer die komplette Kommunikation zwischen Bank und Kunden unter seine Kontrolle, zum Beispiel über Phishing. Aber ich sehe ja auch meinem Gerät, welche Überweisung ich gerade bestätige. Ich halte das Verfahren für sehr sicher, bitte aber jeden, der das nutzt darum, auch wirklich genau zu überprüfen, ob die Angaben auf dem TAN-Generator das sind, was man tun will.
mr monk 01.08.2019
2. 2FA App im Secure Folder?
Zitat: "Das BSI rät allerdings von der Zwei-Faktor-Authentifizierung und Online-Bankgeschäften auf demselben Gerät ab - zumindest solange das genutzte Smartphone über keinen Sicherheitschip (Secure Element) verfügt, über den die Identifizierung sicher gekapselt ablaufen kann." Ist ja irgendwie blöd, wenn mein Smartphone nur noch als TAN-Generator dienen soll. Wenn ich die 2FA App dann im (Secure Folder) laufen lasse, sollte ich das doch wieder sicher haben, oder wo ist mein Denkfeher?
safran64 01.08.2019
3.
Ein kurzer Erfahrungsbericht: Habe ein Zweitkonto bei der DKB und mit dem neuen tan2go Verfahren gibt es nur Probleme. Obwohl mein Gerät nicht gerootet ist, verweigert sie den Dienst, weil wohl irgendeine App oder ein Prozess als nicht sicher eingestuft wird - welcher? wird natürlich nicht angegeben. Die Service-Hotline kann natürlich nicht helfen, welcher der 100 Hintergrundprozesse letztlich verantwortlich ist. Ratschlag: dann halt einen TAN-Generator verwenden... Genau, für 30+ EUR zusätzliche Kosten und der nur für zu Hause Sinn macht. Meine aktuell favorisierte 3. Option: Konto kündigen, bevor ich nicht mehr an mein Geld komme.
hb15370 01.08.2019
4. Sicherheitspatches?
Warum werden die Anbieter nicht per Gesetz verpflichtet das Betriebssystem etwa 5 Jahre mit Sicherheitsupdates zu versorgen? Ich höre den Aufschrei, wenn Microsoft für Windows so verfahren würde.
Leser161 01.08.2019
5. Wir lieben kompliziert
Kreditkarten deren Prinzip ja war das man da einfach mit Bezahlen konnte, bekommen zusätzliche Verfahren. Ja gut, dann kann ich gleich mein normales Konto nehmen. Ansonsten stellt sich mir folgende Frage: TAN-Generatoren die ausfallen können, Fotoverfahren die ebenfalls ein Gerät benötigen, das grundsätzliche Problem von Banking-App und TAN-Empfang mit demselben (hackbaren) Gerät. SMS als unsicherer Kanal. Da frage ich mich, was war nochmal mit Papier-TAN? Ist nicht hackbar und technisch unanfällig. Ja gut Phishing. Aber gegen die menschliche Dummheit ist kein Kraut gewachsen, ob ich mich nun Phishen lasse oder dem Nigeriaprinzen meinen Zugangsdaten samt Generator schicke. Dieses Problem wird man nie lösen können.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.