Das TAN-Desaster deutscher Banken

Die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) bereitet mit ihrer irren Zwei-Faktor-Authentifizierung immer noch Schwierigkeiten. Dabei könnte es so einfach sein.

Die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) bereitet mit ihrer irren Zwei-Faktor-Authentifizierung immer noch Schwierigkeiten. Dabei könnte es so einfach sein.

Die Einführung der sogenannten “Starken Authentifizierung” im September letzten Jahres ist ein Paradebeispiel für Brüsseler Spitzenbürokratie. Solche Nanny State-Regulierungen sind der Grund, warum die Briten Europa verlassen haben.

Noch im vergangenen Jahr konnte man mit der gedruckten iTAN-Liste seine Bankgeschäfte online durchführen. Dass es bei diesem Verfahren zu größeren Problemen gekommen wäre, ist nicht ersichtlich. Angeblich dient die Vorschrift für einen dynamisch generierten zweiten Faktor zum Einloggen und zur Bestätigung von Zahlungsvorgängen dazu, die Sicherheit zu erhöhen. Inwieweit das aber tatsächlich volkswirtschaftlich notwendig war, wurde vom Europäischen Gesetzgeber nicht nachgewiesen.

Es wurde einfach behauptet, dass elektronische Bankdienste per se für Betrug anfälliger seien als physisches Banking. Ich kann das nicht nachvollziehen. Mir wurde mal mein Portmonee gestohlen und der Dieb hat in meiner Bankfiliale mehrere Tausend Euro von meinem Konto abgeräumt — mit gefälschter Unterschrift. Online ist mir mit der iTAN-Liste nie etwas passiert.

Verbraucher sind irritiert

Geschmeidig ist der Zwei-Faktor-Zwang jedenfalls nicht. Obwohl das neue Verfahren im September eingeführt wurde, haben die Bankkunden immer noch Probleme. In den Twitter-Feeds der Banken tauchen heute immer noch etliche Anfragen zur Zugangs-TAN auf. Schwierig wird es nämlich, wenn die angeforderte SMS-TAN auf ein Handy geschickt wird, für das der Vertrag abgelaufen ist oder das defekt ist.

Große Probleme haben Leute, die seit längerem im Ausland sind. Betroffen sind auch Deutsche, die längere Reisen machen oder als digitale Nomaden in der Welt unterwegs sind. Von der Ferne an den Autorisierungs-Code zu kommen, mit dem man ein Smartphone registrieren kann, ist schwierig. Oft ist es Glückssache, eine SMS in außereuropäischen Ländern zu empfangen. Die gute alte iTAN-Liste war sicher genug und jederzeit verfügbar.

Smartphone-Apps sind keine Lösung

Mein Verdacht ist, dass die Banken unbedingt ihre Smartphone-Apps puschen wollten. Denn diese werden als einfache Lösung angeboten. Dabei erfüllen die Smartphone-Apps gerade nicht die dynamische Zwei-Faktor-Authentifizierung, oder zumindest nicht besser als eine Desktop-App oder eine Website. Man brauch nur eine PIN, der zweite Faktor wird von der App selbst generiert. Wie das sicherer sein soll, erschließt sich mir nicht.

Mittlerweile taucht vermehrt Schadsoftware auf, die Smartphones kompromittieren kann (siehe nur den Jeff-Bezos-Whatsapp-Hack). Es ist nur eine Frage der Zeit, bis die erste Banking-Software gehackt wird und massenhaft falsche Überweisungen vorgenommen werden.

Auch sollte bedacht werden, dass ein Smartphone leicht abhanden kommen oder kaputt gehen kann. Wenn das passiert, steht man da und kann seine Bankgeschäfte nicht mehr vornehmen. Schlimmstenfalls hat man Verluste, weil Aktien nicht schnell verkauft werden oder fällige Rechnungen nicht bezahlt werden können. Ich wette, die Banken zucken in solchen Fällen mit den Achseln. Pech gehabt.

Wenn man sich schon auf eine solche Smartphone-App einlassen will, dann kann man auch gleich zu eine der oft wesentlich günstigeren und einfacheren Mobile Banks wechseln.

TAN-Generatoren zu teuer

Wie sauer Bier offerieren die Banken sogenannte TAN-Generatoren. Diese sind von Verträgen mit Dritten unabhängig und funktionieren überall und im Prinzip jederzeit. Ein großer Vorteil gegenüber Smartphone-Apps und Handy-TANs, die vom Netzbetreiber und einer Hardware abhängig sind, die im Alltag auch für andere Zwecke benutzt wird.

Leider braucht man für fast jede Bank einen eigenen Generator (DKB und Postbank akzeptieren einen allgemeinen, der mit der Girokarte betrieben wird). Und teuer sind sie obendrein. Bei der Comdirect beispielsweise fast 35 Euro, bei der ING nicht wesentlich billiger. Kundenfreundlich ist das nicht, wenn man bedenkt, dass Neukunden zwischen 50 und 100 Euro für die Kontoeröffnung geschenkt bekommen. Wäre es dabei nicht drin, für eine kleine Schutzgebühr (sagen wir mal 5 Euro) das Gerät zu verschicken? Viel teurer kann die Herstellung nicht sein. Die Norisbank beispielsweise versendet ihren Kunden auf Wunsch einen Generator kostenlos, der ohne PIN und Karte läuft.

Warum keine E-Mail mit Einmal-TAN?

Ich stelle mir auch die Frage, ob es nicht einfacher und genauso rechtmäßig wäre, beim Zahlvorgang eine E-Mail mit einer TAN zu verschicken. Die TAN wäre genauso wie die SMS-TAN dynamisch und nur für einen konkreten Zahlvorgang ausgestellt, der in der E-Mail wiederholt wird.

Jeder Kunde hätte die Möglichkeit, die Sicherheit entsprechend hochzusetzen, indem er beispielsweise ein dezidiertes E-Mail-Konto für TANs angibt, das verschlüsselte E-Mails empfangen kann (solche E-Mail-Anbieter gibt es mittlerweile auch gratis). Solange man online ist, wird es funktionieren, auch auf Smartphones. Es dürfte mindestens genau so sicher wie SMS sein, die ja nicht verschlüsselt werden und bei denen Phishing-Attacken schon nachgewiesen wurden. So warnt auch das BSI vor der SMS-TAN.

TAN-Kosten im Vergleich

Wer Kontokosten vergleich, sollte nun auch auf die Kosten für die “erhöhte Sicherheit” der Zwei-Faktor-Authentifizierung achten. Da gibt es einige Unterschiede, wie folgende Beispiele zeigen.

Kostenloses Konto? Nicht ganz, dank PSD2.

TAN-SMSTAN-Generator
Comdirect9 ct34,90 €
INGkostenlos32,00 €
DKB Cash nicht verfügbarab 26,49 €
Norisbank9 ctKostenlos
N26nur App-Aktivierungnicht verfügbar
1822 direkt9 ctnicht verfügbar
Postbanknicht verfügbarab 14,90 €

Mein Tipp fürs Depot

Leider schneiden die bekannten deutschen Online-Broker auch hier schlecht ab. Um in das Konto zu kommen, braucht man oft schon eine SMS-TAN und dann für jede Transaktion noch mal. Das nervt. Besser ist es bei Online-Brokern, die nicht gleichzeitig Bank sind. Wie etwa die niederländische Degiro. Passwort zum Einloggen reicht.

Bislang arbeite ich mit einem alten Handy, das speziell nur für die TANs meiner Banken zuständig ist. Ich überlege, mir wenigsten bei einer Bank den Generator zu holen, um unabhängiger und zu sein und weltweiten Zugang zu haben. Was sind Eure Erfahrungen mit den neuen TANs oder mit den Banken-Apps?

1 Kommentar

Hi! I know this is kinda off topic however I’d figured I’d ask.
Would you be interested in trading links or maybe guest authoring a blog article or vice-versa?
My site addresses a lot of the same topics as yours and I feel we
could greatly benefit from each other. If you happen to be interested feel free to send me an e-mail.
I look forward to hearing from you! Great blog by
the way!

Schreibe einen Kommentar