Zurück

Die iTAN-Liste steht vor dem Aus

07.03.2019

Die Richtlinien für den Zahlungsverkehr in Deutschland werden von der Europäischen Union bestimmt. Bereits 2007 gab es die erste Zahlungsdienstrichtlinie, die mehrere Male aktualisiert wurde und 2015 durch eine zweite ersetzt wurde. Bis Januar 2018 hatten die EU-Staaten Zeit die Gesetze der zweiten Zahlungsdienstrichtlinie umzusetzen.

Die zweite Zahlungsdienstrichtlinie der EU

Die zweite Zahlungsdienstrichtlinie der EU (Europäische Union) „Payment Services Directive 2“, kurz „PSD2“, soll europaweit für einheitliche Regelungen im Zahlungsverkehr sorgen. Deutschland hat die Richtlinie im Januar 2018 in nationales Recht umgesetzt. Für Verbraucher bedeutet diese neue Richtlinie, in Bezug auf die PIN-TAN-Verfahren, dass sie die klassische iTAN-Liste aus Papier nicht mehr benutzen dürfen. Bei dieser Liste handelt es sich um die „indizierte TAN“, die Kunden von ihren Hausbanken erhalten. Sie ist eine nummerierte Liste mit TAN-Codes. Für die Auftragserteilung wird eine Nummer aus der Liste abgefragt. Die der Nummer zugehörige TAN muss dann im Online-Banking eingegeben werden. Aufgrund des neuen EU-Rechts darf die iTAN ab dem 14. September 2019 aber nicht mehr im Zahlungsverkehr genutzt werden. Daher geben die meisten Banken bereits keine iTAN-Listen mehr aus.

Was ist überhaupt eine TAN?

Bei Bankaufträgen, beispielsweise einer Überweisung, muss der Bankkunde vor dem endgültigen Abschluss eine TAN eingeben. Die TAN dient als eine Online-Unterschrift und gilt nur für diesen einen Auftrag. Dabei gibt es für den Kunden verschiedene Verfahren, um an diese TAN zu gelangen. Das Verfahren, um an die TAN zu gelangen, muss von der EU abgesegnet sein. Die Banken haben eine ganze Reihe an TAN-Verfahren zur Auswahl, die sie ihren Kunden anbieten können. Im Endeffekt kommt es ganz allein darauf an, welche Verfahren wirklich von der Hausbank angeboten werden und für welche sich der Kunde entscheidet.

Das TAN-Phishing

Banken bieten ihren Kunden, zum Schutz der Daten beim Online- und Mobile Banking, in der Regel unterschiedliche Verfahren an. Die PIN-TAN-Verfahren gelten als ein sehr sicheres Legitimationsverfahren. Es gibt aber immer wieder Versuche von Betrügern, um die PIN und TAN von Kunden zu erbeuten und Zugriff auf das Online-Banking-Konto der Kunden zu erhalten. Dieses Verfahren wird „Phishing“ genannt. Kriminelle versuchen über gefälschte Webseiten und gefälschte E-Mails, die Kunden dazu zu bringen, ihre PIN und TAN zu offenbaren. Es gibt heute schon weitere Verfahren, die es den Kriminellen erschweren, sich die PIN und TAN zu erschleichen. Dynamische Verfahren, wie die mobileTAN und chipTAN, benutzen einen zweiten Übertragungsweg, der an den Auftrag gekoppelt ist und zeitlich begrenzt ist. Der Kunde kann eine Manipulation hierbei selbst erkennen, da er die angezeigten Daten mit seinem Auftrag vergleichen kann. Diese Art der PIN-TAN-Verfahren werden in Zukunft noch wichtiger, da die neue Zahlungsrichtlinie der EU schon bald die klassische iTAN-Liste aus Papier verbietet.

Was ändert sich für Verbraucher noch?

Mit der neuen Richtlinie der EU ändert sich aber nicht nur die Abschaffung der iTAN-Liste. Zukünftig kann es vorkommen, dass Verbraucher, die auf ihrem Handy ihren Kontostand abfragen wollen, sich erst über zwei Faktoren authentifizieren müssen. Dies kann auch hin und wieder beim Einloggen passieren. Diese Faktoren sind entweder die Eingabe der PIN, über das Smartphone oder per Fingerabdruck. Beim TAN-Empfang per SMS wird die SIM-Karte als Authentifizierungsfaktor genutzt, die sowieso im Smartphone steckt. Für die Überweisung wird beispielweise dann zusätzlich die PIN gebraucht. Andere Möglichkeiten zur Authentifizierung sind noch der Fingerbadruck oder die TAN-App auf dem Smartphone.


Bildquellen:

Bildquelle: Michaela Zimmermann / MZ-Datenservice

Zurück