Das iTAN-Verfahren (indizierte TAN-Liste) wird nun schon seit 2005 eingesetzt, hat zum 14. September 2019aber endgültig ausgedient. Warum ist das Verfahren nicht mehr erlaubt und welche Alternativen gibt es?
iTAN – was war das nochmal?
Umgangssprachlich kennt man das iTAN-Verfahren als TAN-Liste. Das „i“ steht für „indiziert“ und weist darauf hin, dass die Transaktionsnummern (TAN) auf der Liste durchnummeriert sind. Bei jedem Auftrag fragt die Bank dann eine ganz bestimmte TAN der Positionsnummer XX an. Beim noch älteren normalen TAN-Verfahren konnte man als Kunde einfach eine beliebige TAN eingeben, bis die Liste aufgebraucht war.
Abschaffung von iTAN bis September 2019 – aber warum?
Seit dem 13. Januar 2018 gilt die zweite europäische Zahlungsdiensterichtlinie (PSD2). Diese sieht vor, dass Kunden sich bei Online-Überweisungen durch zwei Faktoren identifizieren müssen. Der erste Faktor sind Benutzername und Passwort, der zweite Faktor ist die TAN zur Bestätigung der Transaktion. Diese muss laut der neuen Richtlinie dynamisch generiert werden, was mit einer Liste auf Papier nicht möglich ist.
Das iTAN-Verfahren ist sehr anfällig für Phishing-Angriffe, weshalb viele Banken sich schon länger von den Listen verabschiedet haben. Mit der neuen Richtlinie wird das nun Pflicht, allerdings haben die Banken bis zum Ende der 18-monatigen Umsetzungsfrist am 14. September 2019 Zeit.
Alternativen zum iTAN-Verfahren
Da das iTAN-Verfahren schon länger als unsicher gilt, gibt es einige sicherere Alternativen, die aktiv angeboten werden. Allerdings unterscheidet sich das Angebot an TAN-Verfahren von Bank zu Bank. Teilweise lassen sich Banken gewissen Verfahren auch bezahlen. Es gibt dann aber meistens eine kostenlose Alternative.
Aktuell werden folgende TAN-Verfahren am meisten genutzt:
- chipTAN (TAN-Generator): Das chipTAN-Verfahren ist inzwischen auch schon etwas in die Jahre gekommen, wird in der neusten Variante aber immer noch viel verwendet. Dabei nutzt man zum TAN generieren ein Gerät, welches an einen kleinen Taschenrechner erinnert. Bei einer Online-Überweisung erscheinen fünf flackernde Schwarz-Weiß-Flächen auf der Webseite. Man steckt die Girokarte in den Generator und hält ihn ans Display. Dieser erhält durch die Lichtsignale alle benötigten Daten und generiert daraus eine auftragsbezogene TAN.
- pushTAN (appTAN / TAN2go): Das push-TAN-Verfahren funktioniert über eine eigenständige App der Bank. Diese richtet man einmalig mit einem von der Bank erhaltenem Code ein. Bei jeder Überweisung erhält man dann eine Push-Benachrichtigung auf dem Smartphone. Nun muss man sich nochmals bei der App einloggen und erhält dann die TAN.
- photoTAN (QR-TAN): Ähnlich wie beim pushTAN-Verfahren funktioniert auch die photoTAN über eine eigenständige App der Bank. Diese richtet man einmalig mit einem von der Bank erhaltenem Code ein. Bei jeder Überweisung wird eine mehrfarbige Mosaikgrafik auf dem Bildschirm angezeigt, welche dann mit der App gescannt werden muss. Dann werden nochmal die Transaktionsdaten zur Kontrolle angezeigt und dann die TAN generiert.
- smsTAN (mTAN / mobileTAN): Hier gibt man bei der Bank seine Handynummer an und erhält dann bei jeder Überweisung eine SMS mit der TAN. Hierfür fallen natürlich Kosten an, die man bei manchen Banken inzwischen selber trägt.
Ausnahme: Überweisungen unter 30€ ohne TAN möglich
Bei Überweisungen unter 30€ müssen Banken keine TAN anfordern. Jedoch können maximal fünf dieser kleinen Überweisungen direkt nacheinander getätigt werden und der Gesamtwert der letzten kleinen Überweisungen darf nicht über 100€ liegen, sonst muss man sich wieder mit einer TAN authentifizieren. Es ist jedoch keine Pflicht diese Ausnahme zu gewähren, die meisten Banken werden also weiterhin für alle Überweisungen eine TAN anfordern.
Nutzt ihr das iTAN-Verfahren noch? Welche Alternative/n bietet euch eure Bank an?