Bank-Austria-Kunden erhalten dieser Tage eine Nachricht, die nicht bei allen auf Begeisterung stoßen dürfte: Das vielgenutzte SMS-TAN-Verfahren für Online-Banking wird eingestellt. Die Bank argumentiert mit Sicherheitsüberlegungen, für die Betroffenen wird aber wohl eine andere Konsequenz im Vordergrund stehen: Für den empfohlenen Ersatz müssen sie auch die App der Bank verwenden.

Ablauf

Die Abschaltung soll dabei schrittweise erfolgen. Ab dem 16. November dürfen mithilfe von SMS-TAN nur mehr Überweisungen in einer Höhe von bis zu 100 Euro autorisiert werden. Mit Mitte 2023 soll das Verfahren dann komplett gestrichen werden.

Als Ersatz verweist die Bank Austria auf das eigene, bereits länger als Option existierende Mobile-TAN-Push-Verfahren. Dabei wird zur Autorisierung von Transaktionen ein Code an die zugehörige App geschickt. Dafür ist allerdings sowohl ein Smartphone als auch die Installation der Bank Austria Mobile Banking App Voraussetzung.

Card-TAN als Alternative

Ein Umstand, der in der Vergangenheit schon bei anderen Banken für Kritik gesorgt hat, immerhin sperrt man damit alle aus, die kein Smartphone besitzen. Für solche Fälle verweist die Bank Austria auf eine andere Alternative, nämlich das Card-TAN-Verfahren.

Über ein Spezialgerät, in das die eigene Bankkarte eingesteckt werden muss, können dabei ebenfalls Überweisungen autorisiert werden. Wer das haben will, muss sich allerdings mit dem eigenen Berater in Verbindung setzen, weitere Details zu Ablauf und Wartezeiten nennt man dabei nicht.

TAN

Die Transaktionsnummer (TAN) ist eine zusätzliche Schutzmaßnahme für Banküberweisungen. Sie soll verhindern, dass jemand, der an das Online-Banking-Passwort kommt, nicht einfach so nach Belieben Geld abbuchen kann. Es ist also eine Form der Zwei-Faktor-Authentifizierung, wie sie auch bei anderen Online-Konten mittlerweile immer öfter angeboten wird.

Im Falle des SMS-TAN-Verfahrens läuft dies so ab, dass bei jedem Online-Banking-Vorgang eine SMS mit einem Sicherheitscode an die eigene Telefonnummer geschickt wird. Dieser Code muss dann auf der Webseite der jeweiligen Bank eingegeben werden.

SMS ist ein Problem

Das Problem dabei: Dieses Verfahren gilt nicht nur in der Theorie als unsicher, es gibt auch immer öfter reale Angriffe darauf. Dabei klonen Angreifer etwa SIM-Karten, um die TAN abzufangen und auf ihre eigenen Geräte umzuleiten. Erst vor wenigen Tagen wurde eine Attacke bekannt, bei der die SIM-Karten von A1-Kunden online auf eine E-SIM portiert wurden – die dann die Angreifer unter Kontrolle hatten. In der Folge konnten sie dann einfach sämtliche SMS für die Zwei-Faktor-Authentifizierung abfangen – darunter eben auch jene für Online-Banking.

Push

Bei der Push-Methode stellt sich dieses Problem nicht. Werden dabei doch die Codes verschlüsselt an die App übertragen, sie abzufangen ist nicht so ohne weiteres möglich. Zudem hat dieses Verfahren den Vorteil, dass es nicht von einer Mobilfunknummer abhängig ist, eine WLAN-Verbindung ist also ausreichend.

Aus einer Sicherheitsperspektive ist das also fraglos ein Fortschritt – aber auch nicht perfekt. Hauptkritikpunkt bleibt, dass hier sowohl die Transaktion als auch der zweite Faktor am selben Gerät erfolgen, also keine klare Trennung besteht. Sicherer wären eigene Hardware-Keys nach dem FIDO2/U2F-Standard, wie sie von vielen Online-Diensten mittlerweile unterstützt werden. Diese Option gibt es aber weder bei der Bank Austria noch bei den meisten anderen Banken.

Für die Bank ist es besser

Für die Bank selbst hat die Umstellung aber natürlich noch ganz andere Vorteile. Einerseits erspart man sich damit die SMS-Gebühren. Vor allem aber wird damit die Verbreitung der eigenen App massiv gesteigert, worüber man dann deutlich offensiver auf die eigenen Angebote hinweisen kann.

Andere waren schneller

Angemerkt sei, dass die Bank Austria damit nicht die erste österreichische Bank ist, die das SMS-Verfahren streicht – ganz im Gegenteil. Durch eine EU-Richtlinie wurden bereits 2019 die alten TAN-Listen, die via Post zugeschickt wurden, untersagt. Damals verabschiedeten sich viele Banken auch gleich von der SMS-TAN – schon damals mit Hinweis auf die Sicherheit.

Kunden der Bank Austria, die bisher noch SMS zur Autorisierung benutzten, müssen sich jetzt jedenfalls auf die neue Realität einstellen. Das bedeutet also, rechtzeitig vor Mitte November den Wechsel auf die App und das Push-TAN-Verfahren vorzunehmen, um dann nicht kurzfristig mit Problemen und ohne Alternative für größere Überweisungen dazustehen. Weitere Informationen bietet die Bank Austria auf ihrer eigenen Webseite.

Warnung

Apropos Sicherheit: Jede Umstellung bringt natürlich eine gewisse Verunsicherung bei den Betroffenen mit sich, was wiederum ein gefundenes Fressen für Kriminelle ist. Das ist in der aktuellen Situation ebenfalls nicht anders. So warnt die Bank Austria vor Phishing-Mails, die das Streichen der SMS-TAN zum Thema machen und die Nutzer auf betrügerische Webseiten locken wollen, um dann dort deren Login-Daten abzufangen. Die Bank betont dabei, dass man generell nie Mails mit Links für solch sensible Dinge verschickt. (Andreas Proschofsky, 12.9.2022)