Homebanking ohne TAN als Unterschrift? Undenkbar. Die Banken schaffen auch nicht die TAN an sich ab, sondern die ausgedruckte TAN auf Papier. Künftig müssen Homebanker andere Methoden anwenden, um eine TAN zu generieren: Am Smartphone zum Beispiel.

Wer Online-Banking betreibt, kann schon bald seine gedruckte TAN-Liste in den Schredder packen. Denn ab 14. September sind Freigaben durch iTAN nicht mehr erlaubt. Die über Jahrzehnte üblichen Papierlisten – von den Banken an die Kunden verteilt -, werden in ganz Europa abgeschafft.

Wie ich darauf aufmerksam wurde? Meine Hausbank hat beim Einloggen ins Onlinekonto die Umstellung angekündigt. So dürfte es den meisten Kunden gehen: Sie bekommen einen Hinweis auf die Umstellung – ohne jemals zuvor etwas darüber gehört zu haben. Besonders gut und ausführlich informiert haben die Banken nicht gerade.

TAN-Liste geht in den Schredder

Die Fakten: Selbst beim Einloggen ins Onlinekonto ist künftig eine Zwei-Faktor-Authentifizierung erforderlich. Die stets gleiche PIN reicht nicht mehr aus. Stattdessen müssen Kunden künftig eine dynamisch erzeugte TAN eingeben. Die erzeugt ein spezielles Gerät wie ein TAN-Generator. Oder der Kunde muss mit seinem Handy eine PhotoTAN erzeugen (Pixelhaufen auf dem Bildschirm mit dem Smartphone scannen). Biometrische Verifikation ist auch erlaubt – also durch Fingerabdruck oder Gesichts-Scan.

Denkbar auch die mTAN – die TAN, die per SMS kommt. Aber die kostet die Banken Geld. Aufgepasst, dass sie die Gebühren nicht (mit saftigen Aufschlägen) weitergeben.

Wer Geld überweisen oder überhaupt irgendetwas in seinem Konto bewegen will, muss diese Prozedur wiederholen. Jede Transaktion muss jeweils durch zwei Faktoren wie Wissen (etwa Geheimnummer/PIN), Besitz (Smartphone oder Karte) oder Sein (biometrische Merkmale wie Fingerabdruck) bestätigt werden. Da kommt also deutlich mehr Aufwand auf uns zu: Weil wir uns schon beim Einloggen ins Konto aufwändiger ausweisen müssen.

Zumindest am PC. Am Mobilgerät geht es einfacher – durch Fingerabdruck oder Gesichts-Scan, wo möglich. In Mobilgeräten sind biometrische Login-Verfahren schon deutlich weiter verbreitet als am PC.

Homebanking und Co. werden sicherer

Aufwändiger wird mittelfristig auch das Bezahlen mit Kreditkarte im Netz, denn auch hier schreiben EU-Regeln künftig die aufwändigere Bestätigung vor. Das kommt noch nicht am 14. September, aber bald. Jede einzelne Transaktion will dann bestätigt werden. Einfach nur Kreditkarten-Nummer eingeben – das reicht nicht mehr. Besser, wir gewöhnen uns daran.

Eine Umstellung ist immer etwas mühsam. Trotzdem erscheint mir diese neue Vorgehensweise richtig: Sie macht das Online-Banking sicherer.

Außerdem gewöhnt es die Menschen an die Zwei-Faktor-Authentifizierung in einem Bereich, der sehr weit verbreitet ist: das Homebanking. Und diese Umstellung könnte die deutlich bessere Methode zum Einloggen generell auch in anderen Bereichen wie E-Mail, Online-Shops und anderen relevanten Onlinediensten beflügeln. Das wäre dringend nötig. Denn die Nutzername/Passwort-Methode hat sich überlebt – und ist alles andere als sicher.