Deutsche Banken wollen Abstand von der SMS-basierten Kundenauthentifizierung und Transaktionsüberprüfung (TAN oder SMS-TAN genannt) nehmen, da das Verfahren kürzlich als zu unsicher eingestuft wurde.
Nach den Angaben des Handelsblattes haben einige Banken – ob privat, genossenschaftlich oder öffentlich – entweder das Angebot des SMS-TANs eingestellt oder planen, es bis Ende des Jahres abzuschaffen. Dazu gehören unter anderem die Postbank, die Berliner Sparkasse, die Consorsbank und einige andere.

Die Gründe liegen in der Einhaltung von Sicherheits- und Vorschriften

Da heutzutage immer mehr Menschen Online-Banking-Aktivitäten über ihr Smartphone durchführen, müssen Hacker nur dieses Gerät kompromittieren, um alle Informationen zu erhalten, die für die Durchführung einer betrügerischen Transaktion erforderlich sind. Benutzer können auch ihre Online-Banking-Anmeldeinformationen kompromittiert haben und mit gefälschten Textnachrichten, die angeblich von der Bank stammen, gezielt angesprochen werden.

Es wird auch immer häufiger, dass kriminelle Angreifer einen SIM-Wechsel durchführen, um sich als das Telefon des Ziels auszugeben und die betrügerische Transaktion zu validieren. Schließlich gab es Fälle, in denen Kriminelle lang bekannte Sicherheitsschwachstellen in den SS7-Protokollen ausnutzten, um die Zwei-Faktor-Authentifizierung deutscher Banken zu umgehen und Zugriff auf die Bankkonten der Kunden zu erhalten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Jahren vor Sicherheitsrisiken bei der Nutzung von Verfahren mit SMS-TAN, so das Handelsblatt, Fälle von Missbrauch des Tan-Verfahrens seien in den letzten Jahren immer häufiger geworden.

Auch Banken und andere Zahlungsdienstleister müssen sich an die EU-Zahlungsdiensrichtlinie 2 (PSD2) halten, die vorschreibt, dass elektronische Transaktionen, die von EU-Verbrauchern durchgeführt werden, über eine „starke Kundenauthentifizierung“ (SCA) autorisiert werden müssen.

„Starke Kundenauthentifizierung“ bezeichnet hier eine Authentifizierung, die auf der Verwendung von zwei oder mehr Elementen basiert, die als Wissen (etwas, das nur der Benutzer kennt), Besitz (etwas, das nur der Benutzer besitzt) und Inhärenz (etwas, was der Benutzer ist) kategorisiert sind, die unabhängig sind, da die Verletzung des einen die Zuverlässigkeit des anderen nicht beeinträchtigt und so konzipiert ist, dass sie die Vertraulichkeit der Authentifizierungsdaten schützt“, heißt es in der Richtlinie.

Zusätzlich: „Wenn der Zahlungsdienstleister des Zahlers keine starke Kundenauthentifizierung verlangt, darf der Zahler keine finanziellen Verluste tragen, es sei denn, der Zahler hat betrügerisch gehandelt.“

Wenn das Tan-Verfahren abgeschafft ist, müssen die Benutzer mit Methoden wir dem ChipTAN (TAN-Generatorgeräte von Banken), Photo-TAN (eine spezielle mobile App oder Lesevorrichtung, die einen „Barcode“ auf dem Computerbildschirm fotografiert und die TAN-Nummer generiert), Push-TANs (über eine spezielle Tan-App) oder mit digitale Signaturen (über Smartcards) Vorlieb nehmen.