Bild.de Hier geht es zurück zu Bild.de

Online-Banking

Alle TAN-Verfahren im Überblick und wie sie funktionieren

Online Banking TAN-Verfahren: Mann mit Handy und Bankkarte am Computer
Eine Transaktionsnummer – kurz TAN – entspricht quasi einem EinmalpasswortFoto: Getty Images

iTAN, pushTAN, mTAN, photoTAN – TECHBOOK erklärt, was es mit den ganzen TAN-Verfahren auf sich hat.

TAN-Verfahren im Überblick

Wozu braucht man TAN-Nummern?

Kein Online-Banking ohne Einsatz von TANs. Zwar sind auch Chipkartenleser oder elektronische Unterschriften sehr beliebt, um Bankgeschäfte aus der Ferne zu tätigen, die meisten Banken arbeiten aber mit mindestens einem der verschiedenen TAN-Verfahren.

Die Abkürzung TAN steht für Transaktionsnummer. Eine solche Nummer entspricht einem Einmalpasswort, das nur aus Ziffern besteht und nach der Nutzung direkt verfällt. Mithilfe einer solchen TAN werden Transaktionen der Bank genehmigt, ohne vor Ort eine Unterschrift geben zu müssen.

Um eine solche Nummer zu generieren und sie dem Nutzer zukommen zu lassen, gibt es verschiedene Wege, die ein unterschiedliches Maß an Sicherheit und Nutzerfreundlichkeit bieten.

iTAN – die Papierlisten

Das „i“ steht für „indiziert“ und iTANs sind die älteste der hier genannten Varianten. Viele kennen sicherlich noch die Listen, die Online-Banking-Nutzer postalisch zugesendet bekamen. Will man online eine Überweisung tätigen, wird man aufgefordert, eine der Liste zu entnehmenden Nummernfolge einzutragen. Die iTANs lösten das ursprüngliche TAN-Verfahren ab, bei dem der Nutzer selbst entscheiden konnte, welche der Zahlenreihenfolge auf der Liste er angibt. iTAN-Listen wiederum nummerieren ihre TANs, was das Abfragen einer konkreten Kennnummer ermöglicht.

TAN-Listen waren das günstigste Verfahren, da es keinerlei zusätzliches technisches Equipment benötigte. Allerdings waren die Sicherheitslücken vergleichsweise groß. Deswegen sind TAN-Listen in Papierform seit dem 14. September 2019 per EU-Regelung verboten.

Auch interessant: Was man über Smartphone-Banken wie N26 wissen sollte

mTAN – Nachricht per SMS

Abgelöst wurden die Papierlisten unter anderem durch das mTAN-Verfahren. Das „m“ steht in diesem Fall für „mobile“, weswegen auch häufig von SMS-TAN die Rede ist. Die Bank erzeugt dann für jeden Auftrag eine TAN, die dem Nutzer direkt nach Auftragsstellung als SMS zugesendet wird. Als Sicherheitsmaßnahme verfällt die Zahlenkombination nach zehn bis zwölf Minuten. Bei einigen Kreditinstituten fallen außerdem geringe Kosten – ca. 12 Cent pro Nachricht – für den Nutzer an. Übrigens kommt das Verfahren nicht nur beim Banking zum Einsatz. Auch viele andere Online-Dienste wie der Messengerdienst „Telegram“ nutzen mTANs, um den Account zu verifizieren, da sie relativ einfach generiert und lediglich mithilfe der Telefonnummer des Nutzers in sehr kurzer Zeit verschickt werden können.

Allerdings warnt das BSI (Bundesamt für Sicherheit und Informationstechnik) vor dem TAN-Versand per SMS. Das Verfahren sei zwar auf der einen Seite sehr nutzerfreundlich und praktisch in der Anwendung. Auf der anderen Seite seien SMS im Vergleich aber einfacher abzufangen, was ein nicht unerhebliches Risiko des Missbrauchs mit sich bringe.

eTAN –TAN-Generator und Chipkarte

Beim eTAN-Verfahren hingegen wird als – gewissermaßen – zweite Authentifizierungsquelle ein TAN-Generator und ggf. die Chipkarte der Bank verwendet. Deswegen wird das Vorgehen teilweise auch als chipTAN bezeichnet. In der Regel stellt das Geldinstitut, bei dem Sie Kunde sind, den Generator zur Verfügung, wenn Sie das Verfahren aktivieren. Diese Generatoren sind nicht an eine bestimmte Chip-Karte gebunden – ein Gerät pro Haushalt reicht also aus. Werden Sie nach einer Transaktionsverifizierung gebeten, müssen Sie die Karte in den Generator einführen und den über den verwendeten Bildschirm flackernden Code einscannen oder eingeben. Der Generator erzeugt dann auf Basis des Chips in der Karte und der übermittelten Auftragsdaten eine TAN. Das Verfahren ist auch ohne Bankkarte nutzbar. Allerdings ist diese Variante, bei der der Generator die TAN aus den Auftragsdaten und internen Schlüsseln heraus erzeugt, weniger verbreitet.

Insgesamt gelten eTANs als ziemlich sicher, da zwei voneinander unabhängige Geräte zum Einsatz kommen. Vor allem in Kombination mit der Bankkarte kommt es selten zu Sicherheitsbedenken.

Auch interessant: Stiftung Warentest: Nur wenige Banking-Apps schneiden gut ab

pushTAN – die App als Lösung

Zunehmend beliebt ist die App-basierte Version der pushTANs. Die Geldinstitute können dabei auf eine eigene App zurückgreifen und die TANs auf diesem Weg dem Nutzer zukommen lassen, ähnlich der mTAN-Version. Die App reagiert auf getätigte Transaktionen und sendet die abgefragte TAN, nach Eingabe eines generellen Passwortes, an das mobile Endgerät.

Die Sicherheit bei diesem Verfahren ist ebenfalls sehr hoch, weil sowohl ein bestimmtes Endgerät als auch ein persönliches Passwort benötigt werden. Am sichersten ist Ihr Konto, wenn Sie den Auftrag von einem anderen Gerät aus als dem erteilen, auf welchem die App installiert ist, also beispielsweise über den PC, während die TAN auf Ihr Smartphone eingeht. Nachteil der Methode ist natürlich, dass die Nutzer gezwungen sind, sich die jeweilige App Ihrer Bank zu installieren. Außerdem funktionieren die Apps in der Regel nicht mehr, wenn die Hersteller aufhören, das mobile Endgerät mit Sicherheitsupdates zu versorgen.

Auch interessant: Vorsicht bei Echtzeit-Überweisungen im Online Banking

photoTAN – Grafikcodes

Das photoTAN-Verfahren ist dem der eTANs mit Einsatz der Chipkarte sehr ähnlich und es funktioniert ebenfalls mithilfe einer App. Diese Anwendung wird bei der Bank registriert, bevor sie zum Einsatz kommt. Zur Verifizierung eines Bankauftrags erscheint auf dem Bildschirm eine verschlüsselte Grafik bzw. ein QR-Code, weswegen photoTANs mitunter auch QR-TANs heißen. Die App entschlüsselt die Grafik und generiert daraus eine TAN, die nur für diesen Auftrag gültig ist. Statt einer App bieten Banken teilweise auch spezielle Auslesegräte an.

Aus sicherheitstechnischen Gründen gilt auch diese Methode als gut, weil erneut zwei voneinander getrennte Geräte zum Einsatz kommen. Zudem bietet die grafische Datenverschlüsselung Hackern keine große Angriffsfläche. Sicherheitslücke ist in diesem Fall das Smartphone des Kunden. Für die Apps benötigt man in der Regel kein gesondertes Passwort, sodass die photoTANs potentiell anfällig für Handy-Trojaner sind.

Welches TAN-Verfahren sollte wann genutzt werden

Gleich vorweg: In der Regel legt Ihre Bank fest, welche Verfahren sie anbietet. Gerade große Institute wie die Commerzbank oder die Deutsche Bank setzen dabei gerne auf mTANs (Kosten zwischen 9 und 12 Cent pro SMS), weil sie besonders nutzerfreundlich und schnell umzusetzen sind. Banken mit Online-Fokus wie die INGDiBa arbeiten mehr mit einer sogenannten Banking-to-go-App, die entweder per pushTAN eine Nummer generieren oder ein Passwort zur Freigabe erfordern.

Die wichtigen Kriterien zur Einstufung eines TAN-Verfahrens sind Sicherheit, Flexibilität und Nutzeroberfläche. Generell sind die in Deutschland angewendeten Versionen der TAN-Generierung für die Nutzer sicher. Das vergleichsweise unsichere Verfahren der iTAN-Listen wurde, wie bereits erwähnt, per EU-Dekret abgeschafft. Zusätzliche Sicherheit gibt ein Vorgehen, dass mindestens zwei Geräte einschließt wie etwa den Generator und die Chipkarte bei der eTAN. Damit steigt aber auch der Aufwand für den Nutzer.

Generelle Sicherheitstipps

Nutzen Sie nicht dasselbe mobile Endgerät für die Erteilung des Auftrags und den Empfang der TAN. Ein Risiko ist dabei natürlich der Verlust des Empfangsgeräts, deswegen sind Smartphones hier anfälliger, weil man sie auch für viele andere Tätigkeiten nutzt. Ein TAN-Generator oder ein spezielles Auslesegerät für photoTANs sind die sicherste Lösung.

Durch generelle Sicherheitsvorkehrungen wie aktuelle Virenbekämpfungssoftware auf PC und Handy erhöhen Sie außerdem die generelle Sicherheit Ihres Online-Bankings. Erteilen Sie Banking-Aufträge außerdem nicht in öffentlichen Netzwerken oder von fremden Geräten aus und überprüfen Sie bei Überweisungen die Auftragsdaten, bevor Sie per TAN bestätigen.