Sowohl bei den Sparkassen in Deutschland als auch bei den Volks- und Raiffeisenbanken ist die SMS-Tan ein Auslaufmodell. Das erklärten die IT-Dienstleister Finanzinformatik (Sparkassen) und Atruvia (ehemals Fiducia GAD, bei den Genobanken) auf Nachfrage des Handelsblatts. Insgesamt gibt es noch rund 2,4 Millionen Kund:innen, die die SMS-Tan oder Mobile Tan genannte Lösung nutzen. Doch die kostet einerseits bei jeder Nutzung einige Cent und gilt ohnehin nicht mehr als besonders sicher. Sie wurde daher schon im Rahmen der PSD2-Einführung und der Zwei-Faktor-Authentifizierungs-Verpflichtung als nicht mehr zeitgemäß angesehen und von einigen Sparkassen abgeschafft.
Denn Tans, die über den SMS-Dienst verschickt werden, lassen sich theoretisch durch Dritte abfangen. Außerdem besteht bei einem Diebstahl des Handys die Möglichkeit, dass das Tan-Verfahren in dieser alten Variante recht einfach missbraucht werden kann. Doch natürlich spielt hier auch die Kostenseite eine Rolle. Der Versand einer App-basierten Push-Tan ist deutlich günstiger, auch wenn die beteiligten Banken für eine SMS natürlich nur einen Bruchteil dessen bezahlen, was die Telefonanbieter regulär aufrufen.
Uneinheitlich ist auch das Bild bei den übrigen Banken: Während die Deutsche Bank die SMS-Tan noch auf Wunsch anbietet, hat die zur Deutschen Bank gehörende Postbank diesen Service schon 2019 aufs Abstellgleis geschoben. Und bei der Commerzbank arbeiten Neukund:innen bereits seit Jahren serienmäßig mit der Photo-Tan, während einige Altkund:innen der Commerzbank noch mit der SMS-Lösung arbeiten können. Gänzlich verschwunden ist die SMS-basierte Tan bereits bei den meisten kleineren Banken, während die Fintechs und Neobanken sie meist gar nicht erst im Programm hatten, da hier ohnehin stets eine App die Grundlage fürs mobile Banking ist.
Zahlreiche Alternativen zur SMS-Tan verfügbar
Was sind die Alternativen zur SMS-Tan? Technikorientierte Kund:innen dürften in den meisten Fällen ohnehin bereits auf eine App setzen. Wer aus alter Gewohnheit noch die SMS-Tan verwendet, hat bald die Wahl – je nachdem, was die eigene Bank in Zukunft anbietet: Während Kund:innen beim Push-Tan-Verfahren über eine App die bestätigende Nachricht über eine Push-Tan-App erhalten, gibt es beim (sichereren) Chip-Tan-Verfahren mehrere Möglichkeiten. Zum einen kann hier meist an Tan-Generator erworben werden, der dann einen Flickr-Code am Notebook-Bildschirm scannt. Alternativ, wenn man ausschließlich mit dem Smartphone arbeitet, werden die Tans zwischen den unterschiedlichen Apps – der Tan generierenden App und der Banking-App oder dem Browser-Banking getauscht. Die Chip-Tan-Lösung mit externem Gerät wird meist auch Nutzer:innen empfohlen, die nicht über ein Smartphone verfügen. Der TAN-Generator stellt hier das Besitz-Element dar. Dank integrierter Zehnertastatur kann ein Code auch dann generiert werden, wenn das Ablesen des Scan-Codes vom PC-Monitor nicht funktioniert.
Beim Photo-Tan-Verfahren schließlich werden entsprechende Codes auf dem Computerbildschirm fotografiert. Wahlweise tauschen auch hier die Onlinebanking-App und die Photo-Tan-App die Informationen untereinander aus. Viele Institute versenden hierfür wiederum einen entsprechenden Code-Brief, den der:die Kund:in beim ersten Nutzen einlesen muss. Die QR-Tan ist wiederum eine Variante der Photo-Tan. Zum Einsatz kommt dabei ein klassischer QR-Code, der auch unter schlechten Bedingungen aufgrund von Redundanzdarstellungen funktioniert – auch wenn nur ein Teil scharf dargestellt wird, reicht das aus, um die Verifizierung durchzuführen.
Übrigens kann rechtssicher bei einigen Banken inzwischen eine Session-Tan verwendet werden. Das bedeutet, dass nicht für jeden relevanten Schritt, der ansonsten per Tan bestätigt werden müsste, eine neue Tan benötigt wird, sondern oftmals nur eine am Tag zum Einsatz kommt, ähnlich wie für bestimmte kleinere Zahlungen per Karte inzwischen nicht mehr die Bestätigung am Terminal per Pin erforderlich ist.
Fazit: Alles ist sicherer als die alte SMS-Tan
Unterm Strich sind sämtliche der hier genannten Verfahren sicherer als die alte SMS-Tan und erst recht als die früher gebräuchlichen Tan-Listen und iTans. Kund:innen sollten sich auf die Umstellung einlassen und überall dort, wo dies möglich ist, eine Zwei-Faktor-Authentifizierung wählen. Denn die Cyberkriminellen rüsten auf und haben sich inzwischen auf diese elegantere Variante des Bankraubs verlegt. Auch wenn in der Vergangenheit oftmals die Banken für ihre Kund:innen das Haftungsrisiko übernommen haben, muss das nicht so bleiben. Doch auch die 2FA-Lösungen beim Banking sollten nicht darüber hinweg täuschen, dass ein Restrisiko bleibt und dass insbesondere Social Engineering selbst bei technikaffinen Kund:innen noch Erfolge erzielt.