Indizierte TAN legt Betrügern das Handwerk

Postbank schiebt „Phishing“ einen Riegel vor / Mobile TAN wird ausgeweitet/ Umfangreiches Sicherheitspaket bringt Verbesserungen

Die Postbank will Betrügern im Internet das Handwerk legen. Mit immer neuen Wellen haben Kriminelle in den vergangenen Monaten versucht, von Online-Bankern deren Transaktionsnummern (TAN) zu ergaunern. Damit soll jetzt Schluss sein: Die Postbank führt als erste Großbank ab 8. August die so genannte indizierte Transaktionsnummer (iTAN) ein. Der Vorteil: Während die Bank heute eine beliebige TAN aus der Liste akzeptiert, gibt sie dem Kunden ab sofort den Einsatz einer bestimmten TAN vor. Selbst wenn die Betrüger in Besitz dieser iTAN gelangen, ist sie wertlos. Denn bei der nächsten Online-Buchung verlangt der Bankrechner eine andere iTAN. Nach wie vor gilt aber, so die Postbank, dass die Kunden ihre Daten nicht preisgeben dürfen, wenn sie von Betrügern dazu aufgefordert werden. Banken verlangen niemals von ihren Kunden persönliche Daten auf einer unsicheren Seite einzugeben. Darüber hinaus rät die Postbank dringend dazu, Viren-Scanner und Firewall einzusetzen sowie die Updates des Betriebssystems anzunehmen, um das Eindringen von so genannten Trojanern zu verhindern.

Mobile TAN wird ausgeweitet

Die mobile TAN (mTAN), seit 2003 bereits im Privatkundenportal „Postbank direkt“ im Einsatz, kann ab sofort auch im klassischen Online-Banking genutzt werden. Die mTAN zeichnet sich durch eine hohe Flexibilität und größtmöglichen Schutz vor Betrügern aus. Erst bei der Auftragsfreigabe wird die mTAN vom Online-Banking erzeugt und dem Kunden mittels SMS aufs Handy gesandt. Die mTAN ist nur für die angeforderte Überweisung und nur für kurze Zeit gültig. Damit ist sie für Betrüger wertlos.

Weitere Sicherheitsfunktionen

Neu ist auch das individuell absenkbare Überweisungslimit. Während bisher einheitlich ein Höchstbetrag von 3000 EUR pro Überweisung galt, kann jetzt jeder Kunde sein eigenes Limit einstellen und jederzeit ändern. Neue TAN-Listen, die der Kunde per Post erhält, sind erst nach Aktivierung gültig. Dazu schaltet man im Online-Banking mit einer TAN der alten Liste die neue Liste frei. Die Aktivierungspflicht schließt das Risiko des Postversands aus. Neu ist auch die jederzeitige Anzeige des Sicherheitsstatus im Online-Banking. Auf einen Blick sieht der Kunde, wann er das letzte Mal im Konto war, wie viele TANs er noch hat und welche Services aktiviert wurden.

So funktioniert die iTAN

Bisher konnten Aufträge im Online-Banking mit einer beliebigen TAN aus der Liste mit 100 TANs erteilt werden. Jetzt verlangt das Online-Banking eine bestimmte TAN aus der Liste, zum Beispiel die TAN mit der laufenden Nummer 70. Nur diese indizierte TAN ist in diesem Moment gültig, jede andere TAN ist für den Auftrag ungültig. Damit wird das Konzept der Phisher durchkreuzt, Kunden durch gefälschte eMails zur Preisgabe von TANs zu überlisten. Wer versucht, mit einer ergaunerten TAN eine betrügerische Überweisung zu veranlassen, scheitert jetzt am sichereren iTAN Verfahren.

Alle Online-Kunden erhalten nach und nach automatisch neue TAN-Listen zugesandt. Jeder TAN-Liste liegt auch eine Broschüre bei, die das neue Verfahren noch einmal ausführlich erläutert. Bis zur Zusendung der neuen TAN-Listen können die alten TAN-Listen wie gewohnt weiter genutzt werden. Wer nicht warten will, kann die neue TAN-Liste selbst anfordern. Dazu wählt man im Online-Banking den Menüpunkt „Einstellungen“, „Neue TAN-Liste bestellen“ aus. Die Umstellung ist für die Kunden kostenfrei. Von der Änderung nicht betroffen sind die Online-PINs der Kunden.