PSD2: Die iTAN hat ausgedient – diese Alternativen hast Du
6 Minuten Lesezeit
Das Wichtigste in Kürze:
- Seit September 2019 ist das iTAN-Verfahren für Online-Banking nicht mehr zulässig, da es den aktuellen Sicherheitsstandards nicht entspricht. Kundinnen und Kunden müssen nun auf sicherere Authentifizierungsmethoden umsteigen.
- Die PSD2-Richtlinie fordert eine Zwei-Faktor-Authentifizierung für Online-Transaktionen, bei der mindestens zwei Kriterien aus Wissen, Besitz und biometrischen Merkmalen erfüllt werden müssen.
- Zu den Alternativen zählen App-TAN, Photo-TAN und TAN-Generatoren, die mehr Sicherheit bieten als iTAN oder SMS-TAN. Kleine Beträge unter 30 Euro sind teilweise von der Zwei-Faktor-Authentifizierung ausgenommen. Sieh Dich in unserem Girokonto-Vergleich nach dem passenden Konto für Dich um:
Die TAN-Liste aus Papier war das Standardverfahren zu Beginn des Online-Bankings. Manche Kundinnen und Kunden nutzen es bis heute – das wird jedoch nicht mehr lange möglich sein: Im September wurde das sogenannte iTAN-Verfahren abgeschafft. Expertinnen und Experten raten dem betroffenen Kundenkreis, sich jetzt schon Gedanken zu machen, auf welche Alternative sie umsteigen möchten. Das hängt natürlich auch davon ab, welche Verfahren Deine Bank künftig anbietet.
Altes TAN-Verfahren entspricht nicht mehr den Sicherheitsstandards
Seit dem 14. September ist Schluss mit dem allseits bekannten iTAN-Verfahren. Der Grund dafür: Es gilt nicht mehr als sicher genug. In der Vergangenheit war es Betrügerinnen und Betrügern etwa durch das Abfangen von Briefen oder Phishing-Angriffe gelungen, an iTAN-Nummern zu kommen. Ist der Log-In-Zugang gehackt, konnten Überweisungen so ungehindert durchgeführt werden.
Seit September gilt daher die sogenannte Zwei-Faktor-Authentifizierung. Sie ist Teil der schon 2018 eingeführten PSD2-Regulation, einer europaweiten Richtlinie, die für mehr Sicherheit im Zahlungsverkehr sorgen soll. Banken und andere Zahlungsdienstleister sind dadurch verpflichtet, bei jedem Zugriff auf ein Konto eine zweistufige Kundenauthentifizierung durchzuführen.
Das heißt, Kundinnen und Kunden müssen zukünftig bei jeder Transaktion mindestens zwei von drei Kriterien aus den Bereichen Wissen, Besitz oder biometrische Merkmale erfüllen. Unter „Wissen“ fällt beispielsweise ein Passwort oder eine TAN-Nummer. Besitz kann durch eine Giro- oder Kreditkarte oder auch den Einsatz eines Smartphones nachgewiesen werden, und als biometrisches Merkmal gilt in der Regel ein Fingerabdruck. Bei Transaktionen und teilweise auch beim Login fragen Banken zukünftig zwei dieser drei Kategorien ab.
Auch SMS-Tan genügt den Anforderungen nicht
Wenn Du bislang immer noch das iTan-Verfahren mit einer Liste aus Papier genutzt haben, musst Du Dich jetzt entscheiden, welche Alternative Du in Zukunft verwenden möchtest. Viele nutzen bereits SMS-TAN, auch Mobile-TAN genannt. Dabei wird die TAN nicht vom Papier abgelesen, sondern auf Anfrage generiert und per SMS an die Kundinnen und Kunden geschickt. Das Verfahren ist zwar etwas sicherer als die iTAN-Methode. Wenn Transaktionen mit dem Handy durchgeführt werden, ist die Zwei-Faktor-Authentifizierung aber auch hier nicht gegeben – daher sehen Experten auch für die SMS-TAN ein baldiges Ende voraus.
Alternativen: App-Tan, QR-TAN oder Lesegerät
Eine Alternative zu den bisherigen Verfahren ist die App-TAN-Lösung. Sie ist der SMS-TAN ähnlich, aber insofern sicherer, als dass die TAN und die Transaktion hier über zwei verschiedene, passwortgeschützte Apps laufen. Als noch bessere Lösung gilt das Photo-Tan-Verfahren: Es funktioniert mit PC und Smartphone. Auf dem PC erscheint ein QR-Code, den die Du mit einer App auf dem Smartphone in eine TAN umwandeln kannst.
Eine andere, schon jetzt häufig genutzte und als sehr sicher geltende Methode ist die Zwei-Faktor-Authentifizierung mittels eines separaten Lesegeräts oder TAN-Generators. Ein solches Zusatzgerät musst Du extra anschaffen, es kostet zwischen zehn bis dreißig Euro. Bei der Funktionsweise gibt es verschiedene Varianten: Entweder wird mit Hilfe des Geräts ein QR-Code gescannt und in eine TAN umgewandelt, oder das Gerät kreiert selbst eine TAN. Teilweise muss auch die Girokarte oder Kreditkarte, wie im Geschäft, in das Gerät geschoben oder der Generator mittels USB oder Bluetooth an den PC angeschlossen werden.
Kleinere Beträge sind nicht von der Regelung betroffen
Die neue Regelung zur Zwei-Faktor-Authentifizierung soll Dir im Online-Banking mehr Sicherheit verschaffen, und ist durchaus angebracht. Dennoch bringt sie auch einen gewissen Mehraufwand mit sich. Handelt es sich bei der Transaktion nur um kleinere Geldbeträge unter dreißig Euro, greift die neue Regelung deshalb nicht. Kleinere Überweisungen kannst Du also auch zukünftig per einfacher Authentifizierung erledigen – es sei denn, es werden innerhalb kürzester Zeit viele solcher Mini-Transaktionen durchgeführt, dann verlangt die Bank eine zweite Authentifizierung. Einfaches Banking soll also auch weiterhin möglich sein, ohne Einschränkungen bei der Sicherheit zu machen.
Entscheide Dich daher für eine Lösung, die für Dich möglichst einfach umzusetzen ist – immer abhängig davon, welche alternativen Authentifizierungsverfahren Deine Bank zur Verfügung stellt. Tatsächlich bieten nämlich nicht alle Banken jede der verschiedenen Möglichkeiten an.