Deutschlands Banken starten eine Offensive gegen Betrüger und schicken TAN-Nummer per SMS aufs Handy. Dies gilt als besonders sicher.

Hamburg. Deutschlands Banken ziehen die Notbremse. Nachdem 2010 ein Schaden von 17 Millionen Euro durch Betrugsfälle beim Online-Banking entstanden ist, suchen die Kreditinstitute nun nach Wegen, um sich und ihre Kunden vor Verlusten zu schützen. Die Haspa fordert ihre Kunden jetzt an den Geldautomaten auf, sich für neue Verfahren beim Online-Banking registrieren zu lassen. Denn die bisherigen Listen mit Transaktionsnummern (TAN) gelten als unsicher.

"Neukunden können bei uns zwischen einer mobilen TAN oder Chip-TAN wählen", sagt Andre Grunert von der Haspa. Die für die Überweisung notwendige Nummer kommt dann auf das Handy oder muss mit einem speziellen Gerät erzeugt werden. Nur Bestandskunden können noch die alten TAN-Listen auf Papier nutzen.

Die Postbank wird ihr bisheriges Verfahren ab Mitte April einstellen. "Die benötigte TAN kommt dann per SMS aufs Handy", sagt Jürgen Ebert von dem Institut. Schon jetzt können bei der Postbank und der HypoVereinsbank Beträge ab 1000 Euro nur noch auf diese Weise überwiesen werden. Zusätzliche Sicherheit bieten bei einigen Banken noch Informationsdienste, die Kontobewegungen auf das Handy per SMS melden. So können unberechtigte Verfügungen schnell entdeckt werden.

"Angriffe auf das TAN-Verfahren sind verbreitet", sagt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit Phishing werden alle Tricks bezeichnet, über die Kriminelle an Kontodaten von Nutzern des Online-Bankings kommen. Offenbar mit Erfolg, denn gegenüber dem Vorjahr ist 2010 die Schadenssumme um 42 Prozent gestiegen. Für ihre Phishing-Attacken nutzen die Betrüger sogenannte Trojaner. Dabei wird beim Surfen oder durch Anklicken eines E-Mail-Anhangs unbemerkt ein Schadprogramm auf den Computer des Nutzers übertragen. "Es klinkt sich dann ein, wenn Daten beim Online-Banking eingegeben werden", sagt BSI-Expertin Nora Basting. "Die Daten werden abgefangen und die Überweisung auf das Konto der Betrüger umgeleitet, ohne dass der Betroffene etwas merkt."

Die neuen Sicherheitskonzepte setzen darauf, dass die Überweisungen durch einen zweiten Kanal neben dem Internet bestätigt werden müssen. "Kriminelle können zwar mit Schadsoftware den Rechner verseuchen, aber nicht gleichzeitig das Handy oder den Generator manipulieren", sagt Basting. Auch andere Banken werden dem Trend folgen. Bei der Targobank müssen sich die Kunden voraussichtlich ab dem zweiten Quartal von den TAN-Listen verabschieden. Die SEB Bank plant die Umstellung der iTAN auf das TAN-Verfahren per Handy. Die Sparda-Bank will die mit einem speziellen Gerät erzeugte TAN im Jahr 2012 einführen, und die Commerzbank arbeitet als Pilotprojekt an einem ganz neuen Verfahren. "Der Kunde kann in diesem System sein Mobiltelefon als TAN-Generator verwenden", sagt ein Sprecher der Bank. Lediglich die Direktbanken Comdirect und die ING DiBa bieten von allen befragten Banken ausschließlich das iTAN-Verfahren an und haben auch keine konkreten Pläne, das zu ändern.

Drei Institute wälzen die Kosten auf die Kunden ab. So kostet eine SMS für die TAN bei der Hamburger Volksbank zehn Cent, bei der Deutschen Bank neun Cent. Sicherheitsexperten warnen zudem davor, Bankgeschäfte mit dem Handy zu betreiben. "Denn dann gibt es die getrennten Übertragungswege nicht mehr", sagt Basting. Die SMS landet auf dem Smartphone, mit dem auch die Überweisung abgeschickt wird.

"Ob Kunden Schäden ersetzt bekommen, hängt häufig von der Beweislage ab", sagt Annabel Oelmann von der Verbraucherzentrale Nordrhein-Westfalen. Am besten schneidet die Regelung der Targobank ab. "Wir garantieren dem Kunden, dass Schäden ersetzt werden, wenn er sich vorher für die Online-Sicherheitsgarantie registriert hat", sagt ein Targo-Sprecher.