1. Girokonto und Online-Banking – welche TAN-Verfahren gibt es?

Die meisten Kreditinstitute bieten das Girokonto mittlerweile auch als Online-Konto an, sodass Kunden die Möglichkeiten des Online-Bankings in Anspruch nehmen können. Heutzutage gilt Online-Banking als sehr sicher, was neben der persönlichen Geheimzahl, die Kunden für das Einloggen in ihr Konto benötigen, auch an den angebotenen TAN-Verfahren liegt. Zahlreiche Bankkunden verlieren allerdings schnell den Überblick im sogenannten TAN-Dschungel, denn es existieren mehrere TAN-Verfahren nebeneinander.

2.Überblick über die verschiedenen TAN-Verfahren

Aktuell gibt es mindestens fünf unterschiedliche TAN-Verfahren, die in der Praxis seitens der Banken eingesetzt werden. Nimmt man noch die älteren und nicht mehr zeitgemäßen Verfahren hinzu, sind es sogar ca. 7-8 unterschiedliche Varianten. Im Überblick handelt es sich dabei um die folgenden TAN-Verfahren beim Online-Banking:

  • TAN-Liste
  • iTAN
  • mobileTAN
  • chipTAN
  • PushTAN
  • photoTAN

Mit diesen unterschiedlichen Verfahren möchten uns in den folgenden Abschnitt näher beschäftigen.

2.1. Wie funktioniert das TAN-Verfahren überhaupt?

Wie das TAN-Verfahren im Einzelnen funktioniert, ist natürlich von der jeweiligen Variante abhängig. Im Allgemeinen kann man sagen, dass die Transaktionsnummer (TAN) allerdings stets die gleiche Funktion hat: Die TAN müssen Sie als Bestätigung und zur Authentifizierung eingeben, wenn Sie im Rahmen des Online-Banking eine bestimmte Transaktion durchführen. In aller Regel sind es die folgenden Aktionen, die Sie mit einer TAN bestätigen müssen:

  • Überweisungsauftrag durchführen (online)
  • Dauerauftrag einrichten
  • Dauerauftrag ändern
  • Dauerauftrag löschen
  • Lastschrift zurückgeben
  • Interne Kontolimits ändern
  • Persönliche Daten und Vertragsdaten ändern

Es handelt sich also um wichtige Funktionen, die bei missbräuchlicher Verwendung durchaus einen finanziellen oder sonstigen Schaden anrichten können, die Sie mittels der Transaktionsnummer bestätigen müssen. Somit ist die TAN tatsächlich ein wichtiger Teil des Sicherheitskonzeptes, welches das Online-Banking ausmacht.

2.2. TAN-Liste und iTAN als veraltete Verfahren

Auf die ersten zwei TAN-Verfahren möchten wir nur kurz eingehen, da diese nicht mehr zeitgemäß sind und nur noch von ganz wenigen Banken überhaupt zur Verfügung gestellt werden. Das erste TAN-Verfahren überhaupt war die sogenannte TAN-Liste, oftmals auch als Papierliste bezeichnet. In diesem Fall erhielten Kontoinhaber seitens der Bank eine kleine Liste als Papierliste zugeschickt. Diese Liste enthielt beispielsweise 100 unterschiedliche Transaktionsnummern. Wurde dann im Rahmen des Online-Bankings die Eingabe einer Transaktionsnummer gefordert, konnte sich der Kunde eine beliebige Nummer aus der TAN-Liste aussuchen und diese eingeben.

Eine leichte Weiterentwicklung dieser Papierlisten war die sogenannte iTAN. Auch dabei wurden die TANs auf eine Liste gedruckt, allerdings waren die Transaktionsnummern innerhalb der Liste nummeriert. Bei einer geforderten Eingabe wurde dann die Nummer (beispielsweise Nummer 7) angezeigt, sodass der Kunde stets eine bestimmte TAN eingeben musste. Allerdings gilt auch dieses Verfahren mittlerweile als veraltet, weil es Sicherheitsmängel vor allem dann gibt, wenn der Kunde auf eine Phishing-Attacke hereinfällt.

2.3. mobileTAN als erstes wirklich sicheres Verfahren

Das erste TAN-Verfahren, welches unter Experten als sehr sicher gilt, ist das seit Jahren am Markt präsente mobileTAN-Verfahren. Diese Variante wird häufig auch als mTAN oder smsTAN abgekürzt. Das Verfahren erfreut sich auch heute noch einer großen Beliebtheit, der sicherlich der Einfachheit und große Transparenz geschuldet ist. Das mobileTAN-Verfahren erfordert allerdings, dass Sie neben dem PC oder Ihrem Laptop zusätzlich mindestens über ein gewöhnliches Handy verfügen, denn in diesem Fall wird die TAN per SMS versendet. Ein Smartphone ist demzufolge nicht zwingend notwendig, sondern es reicht ein gewöhnliches (älteres) Handy aus.

Manche Experten empfehlen sogar, ein älteres Handy ohne Internetverbindung zu nutzen, denn ansonsten können Betrüger durch einen Angriff auf das Smartphone doch wieder die Gelegenheit haben, Manipulationen vorzunehmen. Unter der Voraussetzung, dass Ihr Handy bzw. Smartphone in der Hinsicht sicher ist, gilt das mobileTAN-Verfahren ebenfalls als sehr sichere Variante. Im Detail werden Sie nach Eingabe des Online-Überweisungsauftrags aufgefordert, die TAN einzugeben. Diese erhalten Sie zuvor per SMS und zudem werden in aller Regel noch einmal die wichtigsten Details der Überweisung angezeigt. Diese sollten Sie überprüfen und können dann die per SMS angezeigte TAN in das Eingabefeld der Banking-Maske einfügen.

2.4. chipTAN-Verfahren mit TAN-Generator

Eines der neueren TAN-Verfahren ist das sogenannte chipTAN-Verfahren, welches häufig auch als eTAN oder smartTAN bezeichnet wird. In diesem Fall erhalten Sie die Transaktionsnummer nicht per SMS oder gar per Liste, sondern die Transaktionsnummer wird mittels eines sogenannten TAN-Generator jedes Mal neu und individuell erzeugt. Sie benötigen also einen derartigen Generator als Zusatzgerät, um die TAN generieren zu lassen. TAN-Generatoren funktionieren auf Basis zweier Systeme, nämlich entweder mit oder ohne Bankkarte. Inzwischen gibt es das chipTAN-Verfahren sogar in mehreren Varianten. Die Unterschiede liegen insbesondere darin, ob mit oder ohne Bankkarte gearbeitet wird und ob eine Grafik mit einbezogen wird. Das chipTAN-Verfahren gilt ebenfalls als sehr sicher, was insbesondere dadurch gewährleistet wird, dass wie beim mobileTAN-Verfahren zwei Geräte genutzt werden müssen, die voneinander unabhängig agieren.

2.5. pushTAN-Verfahren für Smartphones

Das pushTAN-Verfahren ist ein weiteres TAN-Verfahren, welches insbesondere für Nutzer einer Banking-App interessant ist. Ansonsten gibt es viele Gemeinsamkeiten mit dem mobileTAN-Verfahren, nur dass Sie beim pushTAN-Verfahren die jeweilige Transaktionsnummer nicht per SMS erhalten, sondern stattdessen innerhalb einer speziellen Banking-App. Wenn Sie also einen Überweisungsantrag online erfasst haben, müssen Sie als Nächstes die Banking-App auf Ihrem Smartphone öffnen und sich mit Ihrem Passwort legitimieren. Anschließend wird Ihnen die TAN angezeigt, die Sie für den aktuellen Auftrag verwenden können. Wichtig ist bei diesem Verfahren, dass Sie möglichst mit zwei unterschiedlichen Geräten agieren, was beim pushTAN-Verfahren jedoch nicht zwingend vorgeschrieben ist. Dennoch ist es deutlich sicherer, wenn Sie nicht die gleichen Geräte für das Online-Banking und die Nutzung der App in Anspruch nehmen.

2.6. photoTAN als sehr neues Verfahren

Das aktuell neueste TAN-Verfahren wird als photoTAN-Verfahren oder auch als QR-TAN bezeichnet. Vereinfacht dargestellt funktioniert dieses Verfahren auf Basis eines QR-Codes, der mittlerweile in vielen Bereichen eingesetzt wird und mit dem Smartphone gescannt werden kann. Im Fokus steht beim photoTAN-Verfahren, dass der Kontoinhaber entweder mit seinem Smartphone oder einem speziellen Lesegerät eine bestimmte Barcode-Grafik einscannt und daraus resultierend die benötigte Transaktionsnummer erhält. Den QR-Code fotografiert der Kontoinhaber beispielsweise mit seinem Smartphone ab und veranlasst damit gleichzeitig die Entschlüsselung. Anschließend wird die TAN angezeigt, die natürlich lediglich für den einzelnen Auftrag einmalig gültig ist.

3 Sind die aktuellen TAN-Verfahren sicher?

Generell sind sich die Experten einig darüber, dass die modernen TAN-Verfahren sehr sicher sind. Das größte Risiko ist die falsche oder nicht achtsame Nutzung durch den Kontoinhaber, was insbesondere mögliche Phishing-Attacken beinhaltet. Diese lassen sich allerdings oft vermeiden, indem man keine unbekannten E-Mails öffnet und sorgsam bei der Eingabe der Webseite im Browser ist. Zudem hilft es, den PC stets mit einer aktuellen Antivirensoftware zu schützen.

Eine weitere Schwachstelle besteht bei der Handhabung einiger TAN-Verfahren nur darin, dass für das Online-Banking und den Erhalt der TAN die gleichen Geräte genutzt werden oder beispielsweise das Smartphone eine Schwachstelle hat. Dies liegt allerdings nicht am TAN-Verfahren selbst, sondern natürlich an einem nicht ausreichend geschützten Endgerät des Verbrauchers. Die am Markt etablierten TAN-Verfahren als solche sind jedoch sehr sicher und können daher bedenkenlos genutzt werden.

4. Wie kann ich für eine noch höhere Sicherheit sorgen?

Wie zuvor erwähnt, sind die aktuell am Markt gängigen TAN-Verfahren vom System her bereits sehr sicher. Dennoch können Sie zumindest dazu beitragen, Ihr eigenes Risiko zusätzlich zu minimieren, denn Schwachstellen können nie zu 100 Prozent ausgeschlossen werden. Zu diesem Zweck möchten wir Ihnen die folgenden Tipps an die Hand geben, wie Sie sich am besten vor einem eventuellen Missbrauch und Betrugsversuchen schützen und somit die TAN-Verfahren so sicher nutzen können, wie sie vom System her bereits sind:

  • Computer sowie mobile Endgeräte durch Antivirensoftware schützen, dabei stets auf Live-Update achten
  • Bank-Webseite als Lesezeichen im Browser speichern, dies verhindert fehlerhafte Eingaben und das „Landen“ auf einer eventuellen Phishing-Website
  • Immer auf das “https://” in der Browserleiste achten (verschlüsselte Verbindung)
  • Keine unbekannten E-Mails öffnen, schon gar nicht mit Dateianhängen oder Links
  • Angezeigte Überweisungsdaten vor Eingabe der TAN noch einmal überprüfen
  • Regelmäßige Abfrage Ihrer Kontoumsätze
  • Limits zur eigenen Sicherheit mit der Bank vereinbaren, beispielsweise maximales Transaktionsvolumen 1.000 Euro in der Woche
  • Überweisungen oder sonstige Transkationen niemals an fremden Computern oder innerhalb öffentlich zugänglicher WLAN-Netze durchführen

Wenn Sie diese Tipps beherzigen, können Sie davon ausgehen, dass Ihr Online-Banking nebst zu nutzendem TAN-Verfahren zu 99,99 Prozent sicher ist.