Neues Urteil enthüllt: Millionen Bankkunden von potentiellem TAN-Sicherheitsrisiko betroffen
Sicherheit ist beim Online-Banking extrem wichtig. Ein Gericht sieht bei einem aktuell von Millionen Kunden eingesetzten TAN-Verfahren erhöhtes Gefährdungspotenzial. Müssen sich jetzt Bankkunden umstellen?
Gleich in § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) wird geregelt, wie eine starke Kundenauthentifizierung beim Online-Banking auszusehen hat. Der Kernpunkt: Es müssen mindestens zwei Faktoren zum Einsatz kommen, so schreibt es auch die aktuell gültige Zahlungsdiensterichtlinie PSD2 vor.
Wie das aussieht, kennt man aus der Praxis: Schon zum Einloggen auf der Banking-Webseite reichen nicht mehr nur Benutzername und Passwort, man braucht einen zweiten Faktor und auch jede Überweisung muss zusätzlich abgesegnet werden, meistens mit einer Transaktionsnummer (TAN).
Früher gab es dafür gedruckte TAN-Listen, doch das war sehr unsicher und ist mittlerweile verboten und auch die smsTAN musste verschwinden. Heute erzeugen in der Regel Apps die Transaktionsnummern dynamisch. Dabei gibt es verschiedene Verfahren, am beliebtesten ist PushTAN, auch AppTAN genannt.
Das haben die meisten Banken als kostenlose TAN-Option im Angebot. Ein Gerichtsurteil aus 2023 bescheinigt dem AppTAN-Verfahren jetzt aber ein "erhöhtes Gefährdungspotenzial" und spricht ihm die erforderliche Sicherheit ab. Das ist insofern ein Problem, weil viele Banken die AppTANs als sehr sicheren Weg für Mobile Banking verkaufen.
Jetzt gratis herunterladen:
CHIP Banking Browser 2023
Mit dem "CHIP Banking Browser 2023" sichern Sie Ihre Online-Transaktionen ab. zum Download
PushTAN erfüllt sehr hohe Sicherheit nicht
In dem Rechtsstreit ging es eigentlich um einen gefakten Telefonanruf, bei dem ein Bankkunde TANs aus der App dem Anrufer verraten hat. Die geklaute Summe muss die Bank laut Urteil nicht zurückerstatten. Interessant war aber, dass das Gericht festgestellt hat, dass die Kombination aus Banking-App und TAN-App auf einem Gerät ein erhöhtes Gefährdungspotenzial besitzt.
Diese Diskussion ist nicht neu, denn man fasst die zwei Faktoren bei AppTAN auf einem Gerät zusammen. Schafft es ein Angreifer, ein Handy zum Beispiel durch eine Malware-Infektion zu kapern, ist nichts mehr sicher. Heute ist es durchaus gängige Praxis, dass Nutzer zwei Apps auf dem gleichen Handy nutzen, die Banking und TAN-Erzeugung erledigen.
Da aber die TAN-App isoliert von anderen Apps betrieben wird und sie wiederum durch ein Passwort oder biometrische Merkmale geschützt ist, hat man sie in der PSD2 als gesetzeskonform eingestuft, was Sicherheitsexperten schon damals kritisierten. Doch egal, wie man die Sache sieht, AppTANs werden millionenfach eingesetzt und bieten eben nicht den höchsten Sicherheitsstandard.
Mobile Banking Sicherheit erhöhen
AppTAN ist unserer Einschätzung nach nicht unsicher, aber ein Kompromiss, weil man keine Gerätetrennung für die eingesetzten Faktoren hat. Auch das BSI rät deshalb dazu, die Sicherheit zu erhöhen, indem man zwei Geräte für Banking und TAN-Generierung einsetzt. Das ist ganz einfach möglich, indem man die Banking-Seite auf dem Computer öffnet und sich auf dem Handy dazu die TANs erzeugen lässt.
Außerdem gibt es Alternativen zu AppTAN, die man nutzen kann:
chipTAN: Bei chipTAN kommt ein zusätzliches Gerät zum Einsatz, in das man die Girocard steckt und das dann passend zur Überweisung eine TAN erzeugt.
PhotoTAN: Auch hier bieten Banken zusätzliche Geräte an, mit denen eine Grafik vom Bildschirm abgescannt wird und das daraufhin eine TAN generiert.
Ohne TAN: Was nicht erzeugt wird, kann man nicht verlieren. Die Postbank zum Beispiel bietet mit BestSign ein Verfahren an, bei dem man gar nicht mehr mit einer TAN hantieren muss. Hier lassen sich Smartphones, aber auch Zusatzgeräte als zweiter Faktor nutzen.
Leider bieten nicht alle Banken die genannten Alternativen an. Es bleibt abzuwarten, ob die Einschätzung aus dem Urteil höhere Wellen schlägt und die Anforderungen an TAN-Verfahren in der nächsten Zahlungsdiensterichtlinie möglicherweise verschärft werden. Aktuell müssen sich Kunden beim Online-Banking also nicht zwingend umstellen. Wer die Sicherheit erhöhten will, sieht zu, dass immer zwei Geräte zum Einsatz kommen.
Jetzt die besten Girokonten auf FOCUS Online vergleichen
Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.