"Finanztest": SMS-TAN bietet nur mittlere Sicherheit

Onlinebanking spart gegenüber dem Weg in eine Bankfiliale Zeit und oft auch Geld. Außerdem erleichtert es den Überblick über die eigene Finanzsituation. Allerdings sollten Bankkunden darauf achten, dass sie zur Freigabe von Überweisungen und anderer Transaktionen Verfahren nutzen, die eine sehr hohe Sicherheit bieten.

Diese TAN-Verfahren gelten als "sehr sicher"

Dazu gehörten aktuell etwa ChipTan, PhotoTan und BestSign in Verbindung mit einem Kartenlesegerät (einmalig neun bis 30 Euro) sowie das App-basierte QR-TAN, berichtet "Finanztest" (Ausgabe 11/18). Die Tester haben die Onlinebanking-Verfahren von 22 Kreditinstituten geprüft.

Diese TAN-Verfahren überzeugen nicht

Die noch recht weit verbreitete Variante SMS-TAN, bei der die Transaktionsnummer (TAN) zur Freigabe von Überweisungen per Kurznachricht aufs Smartphone kommt, bietet dagegen den Angaben nach nur ein mittleres Sicherheitsniveau - ebenso wie die App-basierten Varianten von PhotoTan und BestSign sowie alle Smartphone-Apps von Banken, an die TANs geschickt werden (AppTAN-Verfahren). Bei SMS-TAN und AppTAN werden je nach Bank bis zu neun Cent je übermittelter TAN fällig.

Als unsicher stufen die Tester die Verfahren eTan+ und iTAN ein. Bei letzterem handelt es sich um die klassische Papierliste mit aufgedruckten, durchnummerierten TANs. Dieses Verfahren dürfen Banken aber wegen einer neuen EU-Zahlungsdiensterichtlinie nach dem 14. September 2019 nicht mehr einsetzen.

Was tun bei unsicherem TAN-Verfahren?

Die Experten raten insbesondere Kunden, die TAN-Verfahren mittlerer oder niedriger Sicherheit nutzen müssen – etwa weil es keine Alternative gibt, sich nach Möglichkeit von ihrer Bank eine Sicherheitsgarantie geben zu lassen. Das bedeutet, dass die Bank die Haftung übernimmt, auch wenn der Kunde grob fahrlässig handelt, und der Kunde im Schadensfall nicht beweisen muss, dass er sorgfältig war.

Optimal ist es, wenn so eine Garantie von vornherein für alle Kunden in den Geschäftsbedingungen festgeschrieben ist, was im Vergleich aber nur bei zwei der 22 Banken der Fall war.

Sicherheitstipps für Bankkunden

Weil Betrüger oft versuchen, Bankkunden so zu manipulieren, dass sie Onlinebanking-Daten freiwillig preisgeben oder unwissentlich Überweisungen zugunsten der Kriminellen ausführen, sollte man insbesondere bei Nachrichten im E-Mail-Postfach immer besonders vorsichtig sein.

Hier gilt: Bei Mails von unbekannten Absendern keine Links anklicken und keine Anhänge öffnen - und misstrauisch sein, wenn man in Mails zur Angabe sensibler Daten aufgefordert wird oder irgendeine Form von Handlungsdruck aufgebaut wird, etwa wegen einer angeblichen Kontosperrung oder einer fingierten Aktualisierung von Nutzerdaten.

Insbesondere beim Betriebssystem, beim Browser und beim obligatorischen Virenschutzprogramm sollten angebotene Updates sofort installiert werden. Zudem sollte man eine Firewall nutzen; bei Windows 10 ist so ein Programm standardmäßig aktiviert. Zudem raten die Experten Bankkunden, fürs Onlinebanking keine öffentlichen Rechner zu nutzen.