Die Sparkassen schalten in diesem Jahr das so genannte iTAN-Verfahren beim Onlinebanking ab. Bei der Sparkasse Witten ist es am 30. Juni soweit. Dann werden die Transaktionsnummern (TAN) ausschließlich per SMS versandt oder durch einen speziellen TAN-Generator erzeugt.
Warum die Sparkassen die TAN-Liste abschaffen und wie man seine Online-Überweisungen dann “unterschreibt”, erläutert Udo Gimbel, Leiter Medialer Vertrieb / Electronic Banking der Sparkasse Witten.Herr Gimbel, was hat die Sparkassen bewogen, die TAN-Liste noch in diesem Jahr durch andere Systeme zu ersetzen?
Hintergrund dafür ist, dass die Internet-Kriminellen immer raffinierter zu Werke gehen. Auch wer seinen Rechner optimal schützt, kann sich eine Schadsoftware einfangen. Da kann dann ein statisches System wie die Papier-TAN-Liste nicht mehr absolut schützen.
Was ist denn an den neuen Verfahren besser?
Das ist schnell erklärt: Dem Kunden werden bei der Übermittlung der Transaktionsnummer (TAN) zusätzlich auch die Kontonummer des Zahlungsempfängers und der Überweisungsbetrag angezeigt. Die übermittelte TAN ist nur für diese eine Transaktion und nur eine kurze Zeit gültig.
Diese neuen TAN schützen dann nicht vor der von Ihnen erwähnten Schadsoftware?
Nein, einen so genannten „Trojaner“, der den Computer quasi fernsteuert, kann man sich auch dann noch einfangen. Aber man bemerkt manipulierte Überweisungen sofort an den übermittelten Daten. Kontonummer und Betrag würden dann nicht mit dem übereinstimmen, was man selbst zuvor eingegeben hat.
Welches der neuen Verfahren, chipTAN bzw. smsTAN, empfehlen Sie?
Das hängt ganz von der Häufigkeit der Nutzung ab. Wer viel online überweist, fährt mit dem chipTAN-Verfahren gut. Dazu ist nur einmal der Erwerb eines TAN-Generators erforderlich. Beziehen kann man ihn online zum Preis von 12,90 Euro zzgl. Versandkosten über:
Alle TANs können dann kostenfrei empfangen werden.
Beim smsTAN-Verfahren sind 30 Übermittlungen im Quartal frei, danach kostet die TAN 10 Cent. Privatkunden werden aber in aller Regel mit den kostenlosen TANs auskommen.
Mal Hand aufs Herz: Sind alle Ihre Kunden glücklich über diese Neuerung?
Es ist wie immer im Leben: Man hält gern an dem fest, was man kennt. Angesichts der zunehmenden Bedrohung durch die kriminelle Internetszene halte ich den Umstieg aber für dringend geboten. Auch Online-Nutzer, die ihre Rechner mit Antiviren-Programmen und Firewall schützen, sind nicht vor dem Eindringen eines Trojaners gefeit. Wir registrieren immer häufiger, dass Kunden sich so etwas immer wieder erneut “einfangen”. Die Betrüger infizieren zunehmend seriöse Internetseiten, auf denen man sich den Virus dann holt. Die Zeiten, wo so etwas nur auf “Schmuddelseiten” passierte, sind vorbei.
Also auf jeden Fall umsteigen und nicht bis zum 30. Juni warten?
Auf jeden Fall. Die Papier-TAN-Liste hat ihre Aufgabe erfüllt und weicht nun dem Besseren.
Was können Sie uns noch zu den neuen Verfahren sagen?
Die beiden neuen Verfahren bringen dem Kunden ähnliche Vorteile wie ein Programm-Update auf seinem Rechner: Es erhöht die Sicherheit und bietet zusätzlichen Komfort. Darüber hinaus ermöglichen smsTAN und chipTAN dem Kunden auch mehr Flexibilität als das bisher angebotene iTAN-Verfahren, denn der Nutzer erzeugt seine Transaktionsnummern (TAN) quasi selbst, und zwar individuell für seinen speziellen Auftrag. Die bisher üblichen TAN-Listen müssen damit nicht mehr vorgehalten werden.
So funktionieren die neuen Verfahren: Für das chipTAN comfort-Verfahren benötigen Onlinebanking-Kunden ihre SparkassenCard mit Chip und einen passenden Kartenleser, den so genannten TAN-Generator. Der Multifunktionschip auf der SparkassenCard unterstützt bereits das sichere Bezahlen in Geschäften sowie Bargeldabhebungen am Automaten und kommt nun auch beim Onlinebanking zum Einsatz. Die Handhabung ist dabei denkbar einfach: Zunächst erfasst der Nutzer im Onlinebanking seiner Sparkasse wie gewohnt einen Auftrag, zum Beispiel eine Überweisung. Auf dem Bildschirm seines PC erscheint nun eine animierte Grafik. Der Nutzer hält den TAN-Generator mit der SparkassenCard am Bildschirm auf die animierte Grafik, dabei werden die Daten über lichtempfindliche Kontakte auf der Rückseite des TAN-Generators übertragen.
Sobald diese Übertragung beendet ist, werden dem Nutzer auf dem Display des TAN-Generators nochmals die wichtigsten Daten seines Auftrages (bei einer Überweisung z. B. Empfänger-kontonummer und Betrag) zur Kontrolle angezeigt. Nach Bestätigung der Daten wird über den TAN-Generator eine TAN errechnet, mit der die Transaktion freigegeben werden kann.
Das smsTAN-Verfahren funktioniert ähnlich. Um dieses zu nutzen, benötigt der Kunde ein Mobiltelefon mit einer inländischen Nummer, ganz gleich bei welchem Anbieter. Mit dieser Nummer muss er sich bei der Sparkasse für das smsTAN-Verfahren registrieren. Die Nutzung ist dann auch hier bequem und einfach: Der Kunde erteilt seiner Sparkasse wie gewohnt über das Onlinebanking einen Auftrag. Nach wenigen Sekunden erhält er eine SMS mit den wichtigsten Daten seines Auftrags und einer speziell für diese eine Transaktion erzeugte TAN auf sein registriertes Handy. Nach Prüfung der angezeigten Daten auf Richtigkeit kann der Auftrag mittels der übertragenen TAN am Computer freigegeben werden.
Der Vorteil des neuen Verfahrens liegt zum einen in der Flexibilität, denn der Nutzer muss keine Nummern mehr auf der TAN-Liste suchen, da jede TAN individuell für den jeweiligen Auftrag durch den Kunden selbst erzeugt wird. Zum anderen sorgt die nochmalige Kontrollmöglichkeit seines eingegebenen Auftrags für mehr Sicherheit. Wenn die im Display des TAN-Generators bzw. in der SMS angezeigten Daten mit seinem Auftrag übereinstimmen, kann der Kunde sicher sein, dass sein Auftrag richtig ausgeführt wird. Durch diese Kontrollfunktion können sich Kunden wirksam vor verdeckten Angriffen durch Phishing oder Banking-Trojaner schützen.
Wie bei allen Sicherungsverfahren ist aber auch weiterhin ein sorgsamer Umgang und die Mitwirkung des Kunden erforderlich. Hier helfen schon ein paar einfache Verhaltensregeln:
Man sollte niemals seine persönlichen Kontodaten aus der Hand geben oder gar die Zugangsdaten und Passwörter auf dem PC speichern. Auch sollte man Mails ignorieren, die nach den geheimen Onlinebanking-Daten fragen. Wichtig ist auch: Niemals PIN und TAN auf fremden Seiten eingeben.
Virenschutzprogramm und Firewall sind auf jedem Rechner absolut notwendig und müssen stets aktuell gehalten werden. Hier gibt es auch sehr gute kostenlose Angebote. Eine entsprechende Auflistung stellt auch das Bundesamt für Sicherheit in der Informationstechnik online zur Verfügung (www.bsi.de). Auch die sonstigen PC-Programme und Browser müssen regelmäßig aktualisiert werden. Außerdem: Ins Onlinebanking sollte man stets nur vom eigenen Rechner oder dem eigenen Mobiltelefon aus, auf keinen Fall von einem fremden PC, wie z. B. in Internet-Cafés.
Um sicher zu gehen, sollte Onlinebanking ausschließlich auf den von der Sparkasse benannten Internet-Seiten bzw. Onlinebanking-Programmen durchgeführt werden, d. h. niemals die Zugangsdaten auf fremden Internet-Seiten eingeben. Weiterhin wichtig: Stets auf eine sichere Internetverbindung (https) achten. Diese erkennt man auch an dem geschlossenen Schloss-Symbol, dass sich z. B. beim Internet-Explorer direkt neben der Adresszeile befindet. Ganz wichtig: Immer die Auftragsdaten im Display des TAN-Generators bzw. in der TAN-SMS sorgfältig mit dem im Onlinebanking eingegebenen Auftrag vergleichen. Nur wenn die Daten mit denen z. B. auf dem Rechnungsbeleg angegebenen übereinstimmen, den Auftrag freigeben.
Und sollte dem Nutzer irgendetwas seltsam vorkommen, weil es z. B. vom gewohnten Ablauf abweicht, sollte er den Vorgang vorsichtshalber abbrechen und seine Sparkasse informieren. Bei Verlust der SparkassenCard oder des Handys sollte der Kunde umgehend die Karte bzw. den Onlinebanking-Zugang direkt bei der Sparkasse oder der zentralen 24-Stunden-Hotline „116 116“ sperren lassen.
Keine Kommentare:
Kommentar veröffentlichen