Onlinebanking: Wie sicher ist welches TAN-Verfahren?

Stand:
Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.
Tan Generator vor Bildschirm

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst.
On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Wegen der aktuellen europäischen Zahlungsdiensterichtlinie müssen die Banken und Sparkassen seit 14. September 2019 ihre TAN-Verfahren anpassen. Nicht alle sind nun noch zulässig, die TAN-Listen auf Papier sind seitdem zum Beispiel verboten. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, lesen Sie in diesem Beitrag.

Was ändert sich beim Online-Shopping mit Kreditkarte?

Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet greifen spätestens seit 15. März 2021. Seitdem reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – soll es Kartenzahlungen auch an der virtuellen Kasse nicht mehr geben. Das gilt für Onlinehändler oder andere Webseitenbetreiber, bei denen Sie mit Karte zahlen können.

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.

Video laden: Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Die Verfahren und ihre Kurzbewertung im Überblick

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die Sie tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhalten Sie diese als SMS auf Ihr Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Die Methode ist relativ sicher, aber das Handy kann gestohlen  oder die TAN kann abgefangen werden. Das zuständige Bundesamt BSI warnt vor SMS-TAN und empfiehlt, auf das Verfahren zu verzichten.

Push-TAN – Nachricht per Handy-App

Kurzbeschreibung: Auch hier wird für jede Überweisung, die Sie tätigen möchten, die TAN angefordert. Im Unterschied zur mTAN nutzen Sie hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

App-TAN – Einloggen in die Handy-App

Kurzbeschreibung: Starten Sie eine Überweisung, reagiert die App auf dem Smartphone. Hier müssen Sie sich mit einem vorher gewählten Passwort einloggen. Eine TAN wird zwar im Hintergrund generiert und übergeben, Sie bekommen sie aber gar nicht zu sehen.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

iTAN-Liste – die abgelöste Papiervariante

Kurzbeschreibung: (Papier-)Listen mit TANs wurden bereits weitgehend abgeschafft – vereinzelt sind sie aber noch im Einsatz. Dabei werden die TANs aus einer vorher erstellten Liste ausgesucht und eingesetzt. Seit dem 14. September 2019 dürfen sie nicht mehr im Zahlungsverkehr verwendet werden. Das schreibt die derzeit geltende Europäische Zahlungsdiensterichtlinie (PSD2) vor.

Bewertung: Die Methode ist unsicher, weil die TANs nicht individuell für einen einzelnen Auftrag erstellt werden und daher leicht zu missbrauchen sind.

Beachten Sie: Einige Verfahren erfordern die Eingabe eines Passworts zur Nutzung. Zum Teil können mittlerweile auch biometrische Merkmale wie der Fingerabdruck die Eingabe von Passwörtern ersetzen.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Weitere Ausnahmen finden Sie in diesem Beitrag.

Tipps für Sicherheit beim Onlinebanking

  • Erstellen Sie für Ihren Banking-Zugang ein starkes Passwort, das Sie nirgendwo anders nutzen!
  • Bewahren Sie die Zugangsdaten an einem sicheren Ort auf und teilen Sie sie niemandem per E-Mail oder SMS mit.
  • Online-Banking sollten Sie nie in einem öffentlichen WLAN betreiben. Ausnahme: Sie nutzen einen VPN-Tunnel.
  • Wie beim Verlust Ihrer Karte sollten Sie auch den Verlust des Smartphones bei der Bank melden, deren Banking-Apps Sie nutzen.