Das Ende der Tan-Liste
Ratgeber Geld im Internet zu überweisen, ist bequem. Das Problem ist, viele Verfahren, die als sicher galten, sind es nicht. Deshalb wird nun die Papier-Tan-Liste abgeschafft
Online-Banking soll bequem, kostenfrei und sicher sein. Gerade beim Thema Sicherheit müssen Kunden aber mit Abstrichen leben. Dauerhafte Sicherheit im Netz gibt es nicht. Hacker greifen ständig die digitalen Schutzmauern an, um Lücken im System zu finden. Letztlich ist es nur eine Frage der Zeit, bis eine Schutzvorrichtung überwunden ist und ersetzt werden muss.
Für die iTan Liste ist es jetzt am 14. September soweit. Sie wird abgeschafft. Die praktische Papierliste mit durchnummerierten, indizierten
Zeit hat, das Konto zu leeren. Solche Fälle hat es zwar auch vereinzelt gegeben, sie sind aber nicht das Hauptproblem der iTan. Hier geht es vielmehr um Phishing-Attacken. Betrüger bringen über gefälschte Websites oder falsche Bank-E-Mails Kunden dazu, ihre Tan preiszugeben.
Mehr Sicherheit sollen dynamische Verfahren bringen. Die Idee dahinter: Je kürzer eine Tan existiert, desto schwieriger ist es, diese abzufangen und zu verwenden. Die Tan wird erst zur Durchführung eines bestimmten Auftrages generiert und kann nur zeitlich begrenzt eingesetzt werden. Die statische iTan von der Papierliste erfüllt diese Anforderung nicht.
Die neuen Verfahren heißen AppTan, BestDesign, PhotoTan oder QR-Tan und werden überwiegend als Smartphone-Apps genutzt. Derzeit werden alle diese Anwendungen in puncto Sicherheit mit hoch bis sehr hoch eingestuft. Die Halbwertzeit dieser Aussage wird aber wohl eher kurz sein. Denn auch die iTan hat einmal das einfache Tan-Verfahren aus Sicherheitsgründen abgelöst. Es hat nicht lange gedauert bis die Lücken im System durch Kriminelle erkannt und missbraucht worden sind. Egal, wie sicher ein Verfahren zu Beginn erscheint, je länger es verwendet wird, desto unsicherer wird es. Eine Ausnahme bildet hier das generatorbasierte Chip-TanVerfahren, das immer noch als sehr sicher gilt.
Die Abschaffung der iTan ist daher keine Katastrophe, sondern nur der Lauf der Dinge. Was bleibt, sind die zwei Sicherheitslücken des Online Banking: das Gerät, mit dem es ausgeführt wird und der Mensch, der davor sitzt.
Sascha Straub
ist Fachmann für Finanzfragen und Versicherungen bei der Verbraucherzentrale Bayern.