Geldinstitute

Dass die Bankenwelt zurzeit mit Nachdruck neue Onlinebanking-Verfahren etabliert, ist offenkundig. So verkündete der IT-Dienstleister der genossenschaftlichen FinanzGruppe, die Fiducia IT AG in Karlsruhe, bereits vor einiger Zeit, dass sie das iTAN-Verfahren zum Ende des Jahres 2011 abschalten will. Auch der zweite genossenschaftliche IT-Dienstleister der Volksbanken und Raiffeisenbanken, die GAD eG in Münster, hat ihre Partnerbanken längst flächendeckend mit den neuen Sicherheitsstandards versorgt. Auch die Postbank setzt seit November 2010 auf das neue Verfahren. Und der Deutsche Sparkassen- und Giroverband (DSGV) verkündete Ende Juni, dass mittlerweile schon mehr als 40 Prozent der Sparkassenkunden die neuen Sicherheitslösungen nutzen. „Die TAN-Liste auf Papier, wie wir sie bisher kennen, wird bald der Vergangenheit angehören“, so Bernd M. Fieseler, geschäftsführendes Vorstandsmitglied des DSGV.

TAN-Generatoren schmälern
die Furcht

Trotz des von Kunden immer häufiger geäußerten Wunsches nach verschiedenen Kommunikationskanälen zu ihrer Bank sehen sich onlinebasierte Kontaktwege weiterhin mit ausgeprägten Vorbehalten konfrontiert. Sicherheitsbedenken beim Transfer sensibler Kundendaten gehören nach wie vor zu den zentralen Gründen für die Nichtnutzung von Online- und Mobile-Banking. So ergab zum Beispiel eine aktuelle Studie der Fiducia mit TNS Infratest (Befragung von 1.000 Internetnutzern), dass die Angst vor Betrug 76,1 Prozent der potenziellen Nutzer vom Onlinebanking abhält. Bei den bereits aktiven Nutzern haben diese Sorgen lediglich 13,3 Prozent. Das mag daran liegen, dass von den Onlinebankern bislang nur 2,9 Prozent über Probleme durch kriminelle Machenschaften berichten. Außerdem schützen sich aktive Onliner stärker durch Sicherheitsprogramme (82,1 Prozent) als jene ohne Onlinebanking-Erfahrung (55,2 Prozent).

TAN-Generator oder SMS?

Bei der Kundenansprache ist die überzeugende Vermittlung des Sicherheitsmehrwerts daher ein entscheidender Punkt für den Erfolg jeder Multi-Channel-Strategie. Die von zahlreichen Banken bereits vollzogene Einführung der TAN-Generatoren hat diesbezüglich das Potenzial zur Erfolgsgeschichte.

Denn die Mehrheit der Nutzer ist bereits über onlinebasierte Kontaktwege, die ein erhöhtes Maß an Sicherheit bieten, informiert. Somit wissen die meisten Internetnutzer, wie Transaktionsverfahren abgesichert werden können. Dies ergab eine internetrepräsentative Umfrage des Marktforschungs- und Beratungsinstituts YouGovPsychonomics AG, für die über 1.000 Bundesbürger im Juli 2011 befragt wurden.

Demnach kennen aktuell circa 37,7 der 65 Millionen deutschen Internetnutzer (58 Prozent) den TAN-Generator. Und auch die Übermittlung von TAN via SMS ist bereits mehr als der Hälfte aller Befragten bekannt. Verwendung finden TAN-Generatoren bei mehr als jedem zweiten Kenner (circa 20,7 Millionen Internetnutzer).

Studienleiter Hauke Hirth kommentiert: „Die deutliche Mehrheit der Kenner und Nutzer ist der Ansicht, dass die Geräte Onlinebanking insgesamt sicherer machen. Der TAN-Versand via SMS schneidet diesbezüglich zwar etwas schlechter ab, doch auch ihm attestiert mehr als die Hälfte aller Kenner und Nutzer einen Sicherheitszugewinn. Einigen Banken ist es offensichtlich sehr erfolgreich gelungen, den Sicherheitsmehrwert im Bewusstsein vieler Kunden zu verankern. Dies beschränkt sich bislang allerdings auf diejenigen Kunden, die TAN-Generatoren und SMS-TAN bereits nutzen oder zumindest kennen. Bei den Nichtkennern schneiden diese bislang noch deutlich schlechter ab.“ Zu etwas anderen Erkenntnissen gelangt die Studie von Fiducia/Infratest. Dort wird bei einer Zustimmung von 32,5 Prozent die mobile TAN, also via SMS, als beliebtestes Verfahren beim Onlinebanking konstatiert. Interessant auch: 15,6 Prozent können sich nach dieser Studie biometrische Verfahren als künftige Sicherheitsmaßnahme vorstellen. Die Chipkarte mit Lesegerät bringt es hier hingegen nur auf 14,3 Prozent.

Bedienfreundlichkeit polarisiert

Wie dem auch sei, ob TAN-Generator oder SMS – am Ende wird wohl die Benutzerfreundlichkeit der Systeme über die Akzeptanz entscheiden. Dabei geht der von Kennern und Nutzern attestierte Sicherheitsmehrwert meist mit einer hohen Zufriedenheit mit der Technik einher. „Zwei Drittel zeigen sich mit den TAN-Generatoren bereits zufrieden“, ergänzt Psychonomics-Studienleiter Hirth. „Als erfolgskritischer Punkt erweist sich allerdings die Bedienungsfreundlichkeit, die stark polarisiert und zum Spitzenfeld der Gründe für Unzufriedenheit mit TAN-Generatoren zählt. Dementsprechend kommt es neben überzeugenden Kommunikationskonzepten auch auf eine überzeugende Technik an.“

Praxistest

Das wollte die Redaktion von geldinstitute dann doch etwas genauer wissen und hat die unterschiedlichen Geräte im praktischen Einsatz getestet. Wir besorgten uns Geräte der Hersteller REINER SCT, VASCO und KOBIL. Daraufhin wurden Transaktionen mit unterschiedlichen Bankengruppen getätigt. Sowohl Sparkassen als auch Genossenschaftsbanken waren ebenso von der Partie wie Privatbanken.

Besonders interessierte, ob die Geräte auch wirklich bei allen Banken und Sparkassen einsetzbar sind. Diese Eigenschaft konnte der Redaktion übrigens bei einer Nachfrage bei den Servicekräften einzelner Geldinstitute nicht zweifelsfrei bestätigt werden. Da scheint also noch Informationsbedarf zu bestehen.

Alle Geräte neueren Datums bestanden den Praxistest. Der Einsatz klappte bei allen getesteten Instituten. Allerdings gab es kleinere Bedienprobleme zu bewältigen, wie etwa die Anpassung der Breite an den angezeigten Flickercode.

Hier könnte ein ungeübter Nutzer schon mal überfordert sein. Auch kann es Probleme durch zu hell eingestellte Monitore oder zu viel Umgebungslicht geben. Nicht zuletzt kommt es darauf an, die TAN-Generatoren im passenden Winkel an den Monitor zu halten. Ansonsten funktionieren alle Geräte ausgezeichnet.

Wichtig und absolut sicherheitsrelevant ist es, dass der Nutzer unbedingt auf die richtige Anzeige von Überweisungsbetrag und Kontonummer achtet. Da ist man doch schnell verleitet, einfach auf „OK“ zu drücken. Mit möglicherweise fatalen Folgen. Natürlich schützt kein externes Gerät den PC vor Viren oder Trojanern. Denn ein auf dem PC vorhandener Trojaner kann den im Browser angezeigten Startcode und die Bankdaten austauschen, bevor sie im Display des Gerätes angezeigt werden. Es wurde bereits von Fällen berichtet, bei denen Trojaner ihr Werk verrichten konnten, weil die Opfer unvorsichtig waren und die Daten einfach bestätigten, ohne sie nochmals zu prüfen. Hier kann man allen Geldinstituten nur raten, auf dieses Problem alle Nutzer eindringlich hinzuweisen, um Schäden zu vermeiden.

Die angezeigte TAN ist nur für den aktuellen Auftrag und nur wenige Minuten gültig.

Kostenfragen

Anders als bei der SMS-TAN, die im Zweifel nur ein entsprechendes Handy erfordert, braucht der Bankkunde beim Sm@rt-TAN-plus-Verfahren oder Chip-TAN-Verfahren einen TAN-Generator oder Sm@rt-TAN-plus-Leser. Dieser kann dann aber von mehreren Personen in einem Haushalt genutzt werden. Ebenso können die Geräte bei allen Bankverbindungen eingesetzt werden, sofern die jeweiligen Kreditinstitute dieses Verfahren unterstützen. Die zehn Euro, welche die meisten Geldinstitute dafür verlangen, halten aber doch so manchen von dieser Lösung ab. So kann man es zumindest in einigen Userforen im Internet nachlesen. Ob die kostenfreie Abgabe der bessere Weg wäre, muss jedes Institut wohl für sich entscheiden.

Andererseits: Die SMS-Lösung ist auch nicht immer kostenfrei. Das hängt ebenfalls von der Bank ab. Bei manchen Banken sind die ersten fünf SMS je nach Kontomodell kostenlos, weitere werden dem Kunden mit neun Cent pro SMS berechnet. Auch hier gibt es kritische Verbraucherstimmen. Die Übertragungskosten können sich bei der Nutzung aus dem Ausland über die Roaminggebühr weiter erhöhen. Außerdem setzt dieses Verfahren natürlich auch einen funktionieren Handyempfang voraus.

Wie dem auch sei: Sicherheit sollte Banken und Kunden auch etwas Wert sein. Zehn Euro können doch wahrlich kein stichhaltiges Argument sein. Außerdem: Die ebenfalls sichere HBCI-Lösung ist noch teurer für den Kunden. Also sollten die Geldinstitute dem Kunden die Wahl überlassen, wie er sein Onlinebanking bewältigen will. Viele Institute bieten mehrere Alternativen zur Wahl. Manche machen das Verfahren auch vom Überweisungsbetrag abhängig, wie etwa die Netbank (bis 1.000 Euro iTAN, ab 1.000 Euro mTAN erforderlich).

Die Vergabe der TAN-Generatoren an die Endkunden ist mittlerweile bei allen wichtigen Gerätelieferanten komfortabel geregelt. Alternativ zur persönlichen Übergabe an den Kunden in der Bankfiliale gibt es sowohl über den Deutschen Sparkassenverlag (DSV) als auch bei vielen genossenschaftlichen Kreditinstituten Onlineshops für eine direkte Abwicklung über das Internet. Allerdings sollte beim Onlineshop darauf geachtet werden, dass der Besteller des TAN-Generators auch auf die Sicherheitsregeln eindringlich hingewiesen wird. Nur so ist die sichere Anwendung gewährleistet.

Und wer macht das Rennen?

Die Eingangsfrage lässt sich nicht abschließend beantworten. Denn mittlerweile gab es auch erfolgreiche Angriffe von Kriminellen auf das mobile TAN-Verfahren via SMS. So gesehen sind auch die neuen Lösungen nur so sicher wie der sachkundige Nutzer damit umgeht. Und die Studien sind widersprüchlich. Die einen Prognosen sehen die mTAN vorne, andere wiederum den TAN-Generator. Gerade auch deshalb sollte die klug aufgestellte Bank beides offerieren.