Menü

Onlinebanking: Wie sicher ist welches TAN-Verfahren?

Stand:

Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst!
Tan Generator vor Bildschirm
On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Wegen der aktuellen europäischen Zahlungsdiensterichtlinie müssen die Banken und Sparkassen seit 14. September 2019 ihre TAN-Verfahren anpassen. Nicht alle sind nun noch zulässig, die TAN-Listen auf Papier sind seit September zum Beispiel verboten. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, haben wir in einem separaten FAQ aufgeschrieben.

Weil Handel und Banken es nicht rechtzeitig geschafft haben, ihre Verfahren für Online-Einkäufe auf Kreditkarte umzustellen, gewährt die Finanzaufsicht BaFin eine Übergangsfrist. Stichtag für Kreditkarten war also nicht mehr der 14. September. Welches Datum stattdessen gilt, hat die BaFin am 21. August 2019 noch nicht mitgeteilt.

Die Verfahren und ihre Kurzbewertung im Überblick

iTAN-Liste – die Lösung auf Papier

Kurzbeschreibung: (Papier-)Listen mit TANs wurden bereits weitgehend abgeschafft – vereinzelt sind sie aber noch im Einsatz. Dabei werden die TANs aus einer vorher erstellten Liste ausgesucht und eingesetzt. Seit dem 14. September 2019 dürfen sie nicht mehr im Zahlungsverkehr verwendet werden. Das schreibt die derzeit geltende Europäische Zahlungsdiensterichtlinie (PSD2) vor.

Bewertung: Die Methode ist unsicher, weil die TANs nicht individuell für einen einzelnen Auftrag erstellt werden und daher leicht zu missbrauchen sind.

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die man tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhält man diese als SMS auf sein Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Die Methode ist relativ sicher, aber das Handy kann gestohlen / die TAN kann abgefangen werden. Das zuständige Bundesamt BSI warnt vor SMS-TAN und empfiehlt, auf das Verfahren zu verzichten.

Push-TAN – Nachricht per Handy-App

Kurzbeschreibung: Auch hier wird für jede Überweisung, die man tätigen möchte, die TAN angefordert. Im Unterschied zur mTAN nutzt man hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

App-TAN – Einloggen in die Handy-App

Kurzbeschreibung: Startet man eine Überweisung, reagiert die App auf dem Smartphone. Hier muss man sich mit einem vorher gewählten Passwort einloggen. Eine TAN wird zwar im Hintergrund generiert und übergeben – Sie bekommen sie aber gar nicht zu sehen.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

Beachten Sie: Die Stiftung Warentest hat im Oktober 2018 einige Apps von Banken getestet. Dabei haben nur 12 von 38 getesteten Apps gut abgeschnitten. Kritisch war unter anderem der Datenschutz.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Tipps für Sicherheit beim Onlinebanking

  • Erstellen Sie für Ihren Banking-Zugang ein starkes Passwort, das Sie nirgendwo anders nutzen!
  • Bewahren Sie die Zugangsdaten an einem sicheren Ort auf und teilen Sie sie niemandem per E-Mail oder SMS mit.
  • Online-Banking sollten Sie nie in einem öffentlichen WLAN betreiben. Ausnahme: Sie nutzen einen VPN-Tunnel.
  • Wie beim Verlust Ihrer Karte sollten Sie auch den Verlust des Smartphones bei der Bank melden, deren Banking-Apps Sie nutzen.