https://www.faz.net/aktuell/finanzen/warum-das-sms-verfahren-doch-noch-laenger-funktioniert-18200892.html

Authentifizierung vor dem Aus : SMS-Tan mit Gnadenfrist

Onlinebanking: Die Vielfalt an Zugang-Apps wird begrenzt. Bild: dpa

Eigentlich sollte bei den Volksbanken Ende Juli mit der SMS-Tan Schluss sein, nun wird noch mal verlängert. Der Grund: Viele sind noch nicht umgestiegen. Doch auf langfristige Sicht müssen sich die Kunden an den Gedanken gewöhnen.

          3 Min.

          Die Volksbanken hatten es groß angekündigt: Ende Juli ist Schluss mit der SMS-Tan, hieß es vor Wochen. Nun gibt es nochmals eine Gnadenfrist. Danach soll das Angebot im September enden. Konkret geht es noch um technische Probleme mit manchen Huawei-Geräten sowie Geschäftskunden. „Um Banken für die Umstellung dieser Kunden mehr Zeit einzuräumen, wurde die Abschaltung auf Ende September verschoben“, heißt es auf Anfrage beim zuständigen IT-Dienstleister Atruvia. Immerhin hätte es noch 600.000 Nutzer der SMS-Tan bei den Volksbanken gegeben, davon allerdings viele inaktive Konten. Ende 2021 waren es immerhin 1,7 Millionen Kunden. Die Umstellung läuft also – doch was hat es damit auf sich?

          Franz Nestler
          Redakteur in der Wirtschaft.

          Aktuell werden die Authentifizierungsverfahren für die Nutzung des Onlinebankings umgestellt. Dabei geht es um die Transaktionsnummern, kurz Tan, die man zum Beispiel braucht, wenn man eine Überweisung tätigen möchte oder sich allgemein gegenüber der Bank digital ausweisen muss. Mit der Umstellung soll die Sicherheit für Kunden und Banken erhöht werden.

          Zuerst hatte es die Papierliste erwischt: Früher wurden die Tan auf Papierlisten gedruckt und verschickt. Diese Form wurde aber bald als zu unsicher, zu aufwendig und zu unpraktisch gebrandmarkt. Die Tan-Papierlisten sind seit dem 14. September 2019 außer Dienst gestellt, damals trat eine Richtlinie der Europäischen Union in Kraft. Sie besagt, dass jede Transaktion mit der sogenannten Zwei-Faktor-Authentifizierung bestätigt werden muss. Ein Faktor ist dabei das Log-in mit Benutzername und Passwort in das Onlinebanking, der andere die Authentifizierung über die Tan, die allerdings nach der Richtlinie dynamisch generiert werden muss – also nicht auf einem Zettel feststehend sein darf.

          Ein günstigeres Sicherheitsverfahren

          Die nächste Methode, die nun ausstirbt, wird die SMS-Tan sein. Auch mit der Gnadenfrist der Volksbanken ist das Ende absehbar: So sollen Einsparungen in Millionenhöhe möglich sein – und das, obwohl die Kurznachrichten als Kontingente eingekauft werden und damit schon deutlich günstiger sind als beim Endverbraucher. Aber auch die Sicherheit ist immer wieder ein Thema. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Verfahren, das es für unsicher hält. Die Handynummern können gefälscht werden, die Tans können abgefangen werden, und bei einem Diebstahl des Handys ist es noch simpler möglich.

          Das nächste Verfahren, das nach Papier und SMS vom Aus betroffen ist, wird die chipTan sein – die Postbank hat es bereits abgeschaltet. Schon im August des vergangenen Jahres wurde es den Kunden angekündigt, seit dem 24. Mai funktioniert es nicht mehr. Die Postbank begründet das so: „Uns ist es wichtig, immer auf dem neusten Stand der Technik zu sein. Deshalb entwickeln wir unsere Systeme kontinuierlich weiter und überarbeiten unsere Services.“

          Warum dann ein anderes Verfahren eingestellt wird, erklärt das aber nicht. Hier teilt die Pressestelle mit, dass aufgrund regulatorischer Vorgaben neu ausgegebene Girocards mit einem neuen Chip ausgestattet seien, und die älteren chipTan-Geräte damit nicht mehr funktionieren würden. Man kann aber auch vermuten, dass es an den Kosten liegt, da zwei (oder mehr) Sicherheitssysteme nun mal teurer sind als nur eines.

          Ohne Smartphone könnte es bald schwierig werden

          Mit der Abschaltung der chipTan ist die Postbank als großer Filialbetreiber trotzdem halbwegs allein auf weiter Flur. Glaubt man Berichten im Internet, ist die Wut darüber auch groß – gerade bei Kunden, die sich erst kürzlich einen solchen chipTan-Generator gekauft hatten.

          Was die Kunden konkret machen können, hängt von der jeweiligen Bank ab: Die Sparkassen selbst empfehlen die Push-Tan als Mittel der Wahl. Das ist eine App auf dem Handy, auf der man den Auftrag dann freigeben kann, ohne dass man überhaupt noch eine Tan eingeben muss. Diese Apps auf dem Handy gibt es je nach Bank in den verschiedensten Ausführungen. Bei manchen muss man die Tan noch per Hand ins Onlinebanking übertragen. Bei der Photo-Tan muss man ein Quadrat mit bunten Pixeln abfotografieren, die App übersetzt das dann in eine Freischaltung.

          Doch was ist mit Kunden, die kein Smartphone besitzen? Manche Sparkassen und Volksbanken benutzen noch das sogenannte chipTan-Verfahren. Das gibt es in zahlreichen Varianten. Wer partout nicht auf das SMS-Verfahren verzichten möchte, dem bleibt nur der Wechsel zu einer anderen Bank. Die Deutsche Bank etwa benutzt dieses Verfahren immer noch und plant keine Einstellung. Doch auch hier sei gewarnt: Ewig wird es die SMS nicht mehr geben. Die Argumente Kosten und Sicherheit kann kein Institut auf Dauer zur Seite wischen. Dann wird es nur noch analog gehen – oder eben mit Smartphone.

          Weitere Themen

          Topmeldungen

          Ein wenige Wochen alter Embryo, stark vergrößert, der schon viele Organe angelegt und sich normalerweise in die Gebärmutter eingenistet hat.

          Künstliche Embryonen erzeugt : Wer braucht schon Ei, Samen, Uterus?

          Ein Embryo entsteht quasi aus dem Nichts - oder ein Homunculus? Mit Kunstembryonen sollen Organfabriken entstehen und kinderlosen Paaren geholfen werden. Stammzellforscher in Israel und USA haben die Embryozüchtung spektakulär vorangetrieben. Und deutsche Gesetze können nichts verhindern.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.