Das iTAN-Verfahren, also iTANs als Liste auf Papier, darf ab Mitte September 2019 nicht mehr verwendet werden. Das ist in der zweiten europäischen Zahlungsdiensterichtlinie geregelt (2015/2366). Diese wird auch mit „PSD2“ abgekürzt, was für „Payment Services Directive 2“ steht.

Ab dem 14. September 2019 ist online fürs Shopping und Banking die Zwei-Faktor-Authentifizierung Pflicht.

Zwei-Faktor-Authentifizierung – was heißt das?
Bei der sogenannten Zwei-Faktor-Authentisierung beziehungsweise Zwei-Faktor-Authentifizierung, kurz: 2FA, erfolgt die Identifizierung des Kunden, der Kundin mithilfe von zwei Faktoren. Diese können zum Beispiel wie folgt kombiniert werden:

- Passphrase als Faktor 1 und TAN als Faktor 2 beim Online-Banking
- Bankkarte als Faktor 1 plus PIN als Faktor 2 am Geldautomaten
- Fingerabdruck als Faktor 1 plus Code als Faktor 2 für Gebäudezutritt

In puncto 2FA online ist wichtig, „dass die Faktoren aus verschiedenen Kategorien stammen, also eine Kombination aus eigenem Wissen wie Passwort oder PIN, Dingen im persönlichen Besitz wie Chipkarte oder einem TAN-Generator oder Biometrie, etwa dem eigenen Fingerabdruck, verwendet wird“. Mit diesen Worten wird Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf spiegel.de zitiert.

Video

2FA ohne Smartphone möglich?
Bei elektronischen Zahlungsvorgängen muss ab dem 14. September 2019 ein dynamischer Authentifizierungscode generiert werden. Technisch könne das mit dem iTAN-Verfahren nicht dargestellt werden. Darüber hinaus seien iTAN-Listen laut BSI zum einen „in der Vergangenheit wiederholt für Phishing-Betrug missbraucht“ worden und zum anderen „seit mehr als zehn Jahren nicht mehr auf einem angemessenen Sicherheitsniveau“.

Wer kein Smartphone hat und weiterhin Onlineshopping und Onlinebanking nutzen will, der kann sich einen TAN-Generator zulegen. Das kann ein Chip-TAN-Generator oder ein Photo-TAN-Generator sein. Zudem wird das mTAN-Verfahren von vielen Banken und Internetdienstleistern angeboten: Per SMS wird ein Code an jede Art von Handy gesendet.