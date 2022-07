Die Volksbanken und Raiffeisenbanken wollen am 30. September SMS-TAN als Legitimationsverfahren für das Onlinebanking einstellen. Das erklärte der genossenschaftliche IT-Dienstleister Atruvia gegenüber heise online. Eigentlich sollten die bereits im Februar bekannt gewordenen Abschaltungspläne schon früher umgesetzt sein. Es habe jedoch Kunden gegeben, die noch auf SMS-TAN angewiesen seien. "Um Banken für die Umstellung dieser Kunden mehr Zeit einzuräumen, wurde die Abschaltung auf Ende September verschoben", hieß es von Atruvia.

Das Ziel sei es, die SMS-TAN-Nutzer auf die neu eingeführte TAN-App VR Securego plus zu leiten. Zu den "Sonderkonstellationen", die dabei für Verzögerung sorgen, zählen laut Atruvia Kunden mit Endgeräten von Huawei, ferner Kunden mit gerooteten Smartphones sowie bestimmte Firmenkunden. Bei den Huaweigeräten sind die fehlenden Googledienste das Hindernis: Man arbeite aber daran, die App auch bald in Huaweis Appgallery verfügbar zu machen.

Auf gerooteten Smartphones wiederum könnte VR Securego plus den Dienst verweigern. Ob sich das noch ändert oder ob die Kunden mit Tools wie Magisk den Rootzustand verstecken können oder dann doch auf andere Verfahren etwa mit TAN-Generator und Girokarte ausweichen müssen – dazu steht noch eine Antwort von Atruvia aus.

Abschaltung aus Sicherheitsbedenken

Insgesamt sei der Wechsel aber schon weit fortgeschritten. 3,6 Millionen Nutzer zähle VR Securego plus bereits. 600.000 Kunden von Volks- und Raiffeisenbanken nutzten noch die mobile TAN, wovon aber viele inaktiv seien. Ende 2021 habe die Nutzerzahl noch bei 1,7 Millionen gelegen. 2,7 Millionen Nutzer verwendeten noch die ältere TAN-App VR Securego. Auch die soll in Zukunft abgeschaltet und die Nutzer zur neueren Plus-Variante überführt werden. Ein Abschalte-Datum für Securego gibt es aber noch nicht.

Die Atruvia hatte im Februar als Grund für das Ende von SMS-TAN unter anderem Sicherheitsbedenken genannt. So könnten SMS theoretisch abgefangen oder auch auf gestohlenen Handys zu leicht abgegriffen werden.

Sparkassen brauchen auch noch

Ebenfalls im Zeitplan hinterher bei der SMS-TAN-Abschaltung sind die Sparkassen. Eigentlich sollte hier bis Mitte dieses Jahres Schluss sein. Deutsche Sparkassen- und Giroverband (DSGV) erklärte nun gegenüber dem Handelsblatt, der Schritt solle noch dieses Jahr geschehen. Wann genau einzelne Sparkassen Verfahren abschalten, sei aber ihnen überlassen. Insgesamt sei SMS-TAN nur noch bei weniger als 20 von 360 Sparkassen im Dienst. Die Nutzerzahl sei von 800.000 am Anfang des Jahres auf 200.000 im Juni geschrumpft. Auch hier will man auf andere Verfahren wie Photo-TAN oder app-basierte TANs aus der S-Push-Tan-App umlenken.

SMS-TAN ist ein Verfahren der Zwei-Faktor-Authentifizierung. Die Bank schickt eine Transaktionsnummer (TAN) an ein ihr bekanntes Handy; die Nummer muss dann im Onlinebanking zur Authentifizierung für einen bestimmten Vorgang eingegeben werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät bereits seit Längerem dazu, auf das SMS-TAN-Verfahren zu verzichten. Zahlreiche Geldinstitute haben das Verfahren bereits begraben. Aber Banken wie etwa die Deutsche Bank oder Commerzbank bieten es noch an.

(axk)