Wer Online-Banking über das iTAN-Verfahren betreibt, muss sich ab Herbst 2019 umstellen: Die vorgeschriebene – aber fehlende – Zwei-Faktor-Authentifizierung ist bei diesem printgestützten Verfahren nicht gewährleistet. Es bieten sich aber mehrere, einfach zu realisierende andere Möglichkeiten an.
Ende der Papiertabellen
Hintergrund ist die zweite Zahlungsdienstrichtlinie der Europäischen Union (EU). Sie schreibt vor, wie Zahlungen beim Online-Banking ablaufen müssen. Nach einer Übergangsfrist tritt sie am 14. September 2019 in Kraft. Die neue Richtlinie sieht in den auf Papier gedruckten Listen mit Transaktionsnummern (TANs) ein Sicherheitsrisiko und schreibt den dynamischen Authentifizierungscode vor. Der ist über das iTAN-Verfahren nicht herstellbar. Dieses vor der Abschaffung stehende Verfahren diente der Bestätigung von Überweisungen und verlief wie folgt. Die Kunden erhielten dafür von ihrer Bank die Papiertabelle mit einer Liste von TANs. Sie sind indiziert, also mit einer Nummer versehen. Daher stammt auch die Abkürzung iTAN. Beim Online-Überweisungsvorgang wird eine Nummer angezeigt, sie muss von dem Kunden auf dem Bankformular eingetragen werden.
Dynamischer Authentifizierungscode
Nach der neuen Zahlungsdienstrichtlinie der EU identifizieren sich Kunden für Online-Überweisungen mit zwei Faktoren. Das sind zum einen Benutzername mit Passwort und zum anderen die TAN: Sie bestätigt die Transaktion. Und genau diese TAN muss ab Herbst 2019 dynamisch generiert werden. Das bisherige iTAN-Verfahren wird abgeschafft, weil es Sicherheitslücken aufweist. Potenzielle Angreifer könnten mit manipulierten Webseiten alle erforderlichen Daten abgreifen: Dadurch lässt sich das Geld auf ein anderes Girokonto umleiten – das des Betrügers. Diese Möglichkeit scheidet mit dem dynamisch generierten TANs weitgehend aus.
Die Banken sind auf diese Änderung vorbereitet mit verschiedenen Möglichkeiten:
- chipTAN
- pushTAN
- smsTAN
- photoTAN
Beim chipTAN-Verfahren beispielsweise kommt ein Zusatzgerät zum Einsatz, das einem Taschenrechner ähnelt und ab 15 Euro am Markt ist. Der Kunde schiebt dort die Girokarte ein und tippt über das Tastenfeld die Daten zur gewünschten Überweisung. Daraufhin erscheint die TAN auf dem Display zur Bestätigung der Transaktion.