Eine junge Frau sitzt entspannt bei einer Tasse Kaffee in der Küche und nutzt auf ihrem Tablet ein TAN-Verfahren für den Online-Einkauf
Bezahlen

Die Nummer sicher: Die wichtigsten TAN-Verfahren im Online-Banking

Detlev Neumann
von Detlev Neumann, 21.06.2019

Für eine Überweisung am Bankschalter anstehen? Das ist dank Online-Banking nicht mehr nötig. Über das Internet funktionieren viele Geldgeschäfte vom heimischen Computer aus oder von unterwegs mit dem Smartphone. Damit das nicht nur bequem, sondern auch abgeschirmt von böswilligen Kontoknackern ist, sorgen sogenannte TAN-Verfahren. Es gibt sie in mehreren Varianten, die sich in der Handhabung und dem Grad der Sicherheit unterscheiden.

Themen in diesem Artikel

TAN-Verfahren: Das Plus an Sicherheit

Ihr Konto geht nur Sie etwas an. Wie viel Geld darauf ist, woher es kommt und wohin es von dort geht – das sind vertrauliche und deshalb schützenswerte Informationen. Nutzen Sie Online-Banking, dann sollten Sie besonders sorgfältig damit umgehen. Denn im Internet warten Gauner nur darauf, Ihre Kontodaten abzugreifen und für illegale Geschäfte zu missbrauchen. Und das natürlich auf Ihre Kosten.

Um sich als rechtmäßiger Kontobesitzer zu identifizieren, müssen Sie beim Online-Banking üblicherweise eine PIN (Persönliche Identifikationsnummer) eingeben. Möchten Sie dann Rechnungen überweisen und ähnliche Aktionen vornehmen, brauchen Sie zusätzlich eine sogenannte Transaktionsnummer, kurz TAN. Diese sechsstellige Ziffernfolge ist ein Code, der jeweils nur für eine Online-Buchung gültig ist. Für jeden weiteren Auftrag brauchen Sie eine neue TAN. 

Es gibt mehrere Methoden, um eine TAN zu erhalten beziehungsweise zu erzeugen. Dazu zählen:

  • ChipTAN-Verfahren
  • PhotoTAN-Verfahren
  • MobileTAN-Verfahren

Diese und weitere unterscheiden sich vor allem in ihrer Handhabung. Alle Verfahren bieten aber die sogenannte Zwei-Faktor-Authentifizierung (manchmal auch als Zwei-Faktor-Authentisierung bezeichnet). Diese Methode ist empfohlen vom Bundesamt für Sicherheit in der Informationstechnik und soll das Online-Banking besonders robust gegenüber Angriffen machen.

Aber welches unter den verschiedenen TAN-Verfahren ist denn nun das sicherste? Hier gibt es die Antwort.

Was ist die Zwei-Faktor-Authentisierung?

Was ist die Zwei-Faktor-Authentisierung?

Bei der Zwei-Faktor-Authentisierung beweisen Sie Ihre Identität gegenüber Online-Diensten mit zwei Sicherheitsfaktoren: Ihre normale PIN plus eine weitere Angabe. Dieser zweite Faktor kann eine Bestätigungs-E-Mail, eine SMS, Ihr Fingerabdruck oder der Code auf einer Chipkarte sein.

ChipTAN-Verfahren und SmartTAN-Verfahren

Dieses Sicherheitssystem arbeitet mit einem TAN-Generator. Das ist ein kleines, handliches Gerät, das Sie bei Ihrer Bank bekommen. Es verfügt neben einer Tastatur und einem Display über einen Schlitz, in den Sie Ihre EC-Karte einschieben. In Verbindung mit einer animierten Balkengrafik auf dem Bildschirm Ihres Computers erstellen Sie mit dem ChipTAN-Verfahren selbst Ihre jeweilige TAN.

Das smartTAN-Verfahren funktioniert ähnlich wie die ChipTAN-Methode. Im Gegensatz dazu arbeitet es ohne EC-Karte.

Für den TAN-Generator verlangen die Banken zwischen 10 und 15 Euro.

Eine Hand hält einen TAN-Generator für das ChipTAN-Verfahren
© istock/gopixa/2017  Das ChipTAN-Verfahren funktioniert mit einem handlichen TAN-Generator und der EC-Karte

mobileTAN-Verfahren

Diese Sicherheitstechnik basiert auf dem Handy beziehungsweise Smartphone. Haben Sie alle erforderlichen Angaben für Ihre Online-Buchung gemacht, schickt Ihnen Ihre Bank eine SMS auf Ihr Smartphone. Diese enthält unter anderem Ihre TAN, die Sie dann für den Abschluss der Transaktion eingeben müssen. Weil beim mobileTAN-Verfahren eine SMS im Mittelpunkt steht, wird das Prinzip auch als smsTAN-Verfahren bezeichnet. Ebenfalls gebräuchlich ist der Begriff mTAN-Verfahren.

Kosten für gesonderte Geräte fallen nicht an. Einige Anbieter erheben jedoch eine Gebühr für jede SMS. Die Hanseatic Bank bietet das mobile TAN-Verfahren für ihre Kunden gebührenfrei an.

PhotoTAN-/QR-TAN-Verfahren

Im Zuge einer Onlinebuchung wird auf dem Computer ein schwarzweißer QR-Code oder eine ähnliche farbige Mosaikgrafik eingeblendet. Diese Anzeige wandeln Sie per App oder mit einem geeigneten Lesegerät in Ihre TAN um. Die geben Sie im weiteren Verlauf ein.

Die App für das Smartphone ist gratis. Sie erkennt über die eingebaute Kamera die jeweilige Grafik und ermittelt daraus die TAN. Zusätzliche Sicherheit gegenüber dieser Lösung bietet ein PhotoTAN-Lesegerät der Bank. Dafür werden rund 15 Euro fällig. 

PushTAN-Verfahren

Das pushTAN-Verfahren setzt ein mobiles Endgerät voraus, sprich Sie brauchen ein Smartphone oder ein Tablet. Darauf müssen Sie eine spezielle App Ihrer Bank installieren. Haben Sie die erforderlichen Daten für Ihre Onlinebuchung eingegeben (geht auch über einen stationären Computer), bekommen Sie eine Push-Nachricht auf Ihr Smartphone oder Tablet. Darin steht beispielsweise, dass ein neuer Überweisungsauftrag von Ihnen eingegangen ist. Bestätigen Sie diese Mitteilung, wird Ihnen die TAN angezeigt.

Das PushTAN-Verfahren ist kostenlos.

Ein Mann sitzt beim TAN-Verfahren vor einem Laptop und schaut auf das Smartphone in seiner Hand
© istock/noipornpan/2018  Für das PushTAN-Verfahren ist ein Smartphone erforderlich, auf dem die Push-Mitteilung der Bank eingeht.

HBCI-Verfahren mit Chipkarte und FinTS

Online-Banking mit dem Homebanking Computer Interface (HBCI) gibt es bereits seit 1998. Um es zu nutzen, werden neben einem Computer folgende Komponenten benötigt: eine spezielle Chipkarte, eine Finanzsoftware und ein Chipkartenleser. Außerdem brauchen die Nutzer eine gesonderte Freischaltung ihrer Bank für den Service.

Was ist eine Finanzsoftware?

Was ist eine Finanzsoftware?

Eine Finanzsoftware ist ein spezielles Programm bzw. eine App für Desktop-Rechner und mobile Endgeräte.  Sie eignet sich unter anderem fürs Online-Banking und die Verwaltung von Giro- oder Sparkonten. Es gibt sowohl kostenlose als auch kostenpflichtige Lösungen von Geldinstituten sowie anderen Anbietern.

Das HBCI-Verfahren funktioniert mit zwei digitalen Schlüsseln, auch Signaturen genannt. Der eine ist privat, der andere öffentlich. Der private Schlüssel ist geheim, individuell, steckt in Ihrer Chipkarte und lässt sich nur mit einer PIN verwenden. Um damit codierte Aufträge zuzuordnen und abzuwickeln, braucht die Bank den öffentlichen, also nicht geheimen Schlüssel. Dieser ist Ihrer privaten Signatur zugeordnet. Nur, wenn beide zusammenpassen, führt die Bank Ihre Order aus.

Möchten Sie mit diesem HBCI-Verfahren eine Überweisung ausführen, tippen Sie zunächst die erforderlichen Daten in die Finanzsoftware ein. Im nächsten Schritt stecken Sie die Chipkarte in den speziellen Chipkartenleser und geben Ihre persönliche HBCI-Geheimzahl (PIN) an. Anschließend verschicken Sie den Auftrag. Die Bank gleicht ihn automatisch mit dem öffentlichen Schlüssel ab und erledigt ihn bei Übereinstimmung.

Der Online-Banking-Standard HBCI wurde weiterentwickelt und vom FinTS-Verfahren abgelöst. Dieser Financial Transaction Service bietet unter anderem eine noch sicherere Form der Verschlüsselung. Etwa 2.000 Banken und Sparkassen unterstützen FinTS.

Der Service ist vergleichsweise teuer. Sie müssen die Finanzsoftware kaufen oder abonnieren. Hinzu kommen rund 60 Euro für den Chipkartenleser.

Welches TAN-Verfahren ist am sichersten?

TAN-Verfahren gelten als besonders sicher, wenn sie mit zwei Kanälen arbeiten. Das bedeutet, dass die TAN im Zusammenspiel von mindestens zwei verschiedenen Geräten erstellt wird. Beispiel: Zunächst nehmen Sie die Onlinebuchung über einen Computer vor, etwa über den Browser oder eine spezielle Software. Dabei identifizieren Sie sich zum Beispiel mit einem Benutzernamen und einem Kennwort. Das ist sozusagen Kanal eins.

Für die TAN kommt ein zweiter Kanal ins Spiel. Dieser zweite Kanal kann – je nach TAN-Verfahren – ein TAN-Generator, eine SMS oder eine Push-Mitteilung an das Smartphone sein. Bei nur einem Gerät könnten Betrüger auf einen Schlag Login-Daten und TAN abgreifen.

Insgesamt muss ein sicheres TAN-Verfahren heute folgende drei Voraussetzungen erfüllen:

  • Die TAN wird auf einem zweiten Gerät erzeugt.
  • Die TAN wird aus den Überweisungsdaten berechnet.
  • Die TAN hat eine begrenzte Gültigkeitsdauer.

Wie lange eine TAN verwendbar ist, hängt von der Bank ab. Bei manchen Geldinstituten erlischt ihre Funktion bereits nach 60 Sekunden, bei anderen erst nach mehreren Minuten.

Grundsätzlich sind Smartphones bei der Erzeugung einer TAN ein gewisses Risiko. So kann es sein, dass Kriminelle darauf unbemerkt Spionage-Software installiert haben. Auch bei Computern ist das möglich. Bei speziellen Geräten der Banken, wie TAN-Generatoren oder Kartenlesern, besteht diese Gefahr kaum.

Welches TAN-Verfahren am sichersten ist, zeigt diese Tabelle:

Die Sicherheit der TAN-Verfahren
TAN-VerfahrenSicherheitsgrad
ChipTAN-VerfahrenSehr hohe Sicherheit, u. a. durch 2-Kanal-Prinzip (Computer und TAN-Generator), Online-Banking-PIN sowie Erstellung der TAN durch den Chip auf der EC-Karte.
SmartTAN-VerfahrenMittlere Sicherheit, weil die TAN nur im Generator und ohne den Chip in der EC-Karte erstellt wird.
mobileTAN-VerfahrenHohe Sicherheit durch 2-Kanal-System (Computer und Smartphone-SMS).
PhotoTAN-VerfahrenSehr hohe Sicherheit, wenn nicht nur das Smartphone für Online-Banking genutzt wird (1-Kanal-System), sondern ein weiteres Gerät, wie ein Tablet oder PC (2-Kanal-System). Noch sicherer ist die Verwendung eines Lesegeräts der Bank.
PushTAN-VerfahrenSehr hohe Sicherheit, wenn das 2-Kanal-System genutzt wird. Hackerangriffe sind eher unwahrscheinlich, da jede Bank eine eigene App nutzt. Ihre Vielzahl erhöht den Aufwand für Schadsoftware. Außerdem ist das Verfahren nicht sehr verbreitet und damit für Kriminelle zusätzlich nicht attraktiv.
HBCI-Verfahren mit Chipkarte/FinTSHöchste Sicherheit, dank der Kombination von Finanzsoftware, spezieller Chipkarte, Kartenleser und PIN.
  

 

Ausgedient I: iTAN-Verfahren

Ursprünglich verschickten die Banken an ihre Kunden gedruckte TAN-Listen mit mehreren dieser Nummern. Doch diese waren hinsichtlich ihrer Sicherheit nicht ideal. Das Problem: Sie hätten von gutgläubigen Nutzern bei Phishing-Angriffen an Kriminelle herausgegeben werden können. Außerdem war damit keine Zwei-Faktor-Authentifizierung möglich. Deshalb wurde das System zu den oben vorgestellten Alternativen weiterentwickelt.

Weil es den vom BSI empfohlenen Sicherheitsmerkmalen nicht mehr entspricht, läuft das iTAN-Verfahren am 14. September 2019 aus. Das bedeutet, dass TAN aus den Listen ab diesem Tag nicht mehr gültig sind. Online-Banking-Kunden müssen dann eines der anderen Verfahren nutzen.

Münzen und ein Geldmünzen liegen auf einer TAN-Liste.
© istock/HeikeKampe/2013  Das iTAN-Verfahren mit gedruckten TAN-Listen ist nicht mehr sicher genug.

Ausgedient II: HBCI-Verfahren mit Sicherheitsdatei

Ebenfalls am 14. September 2019 kommt das Ende für das HBCI-Verfahren mit Sicherheitsdatei. So hat es die EU-Bankenaufsicht beschlossen. Denn das Verfahren genügt nicht den Anforderungen der neuen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2).

Bei dieser Methode wird vom Kunden eine Art digitale Unterschrift auf einem USB-Stick, einer SD-Karte oder einem vergleichbaren Speicher abgelegt. Geschützt wird sie durch ein Passwort. Während einer Online-Buchung wird beispielsweise der USB-Stick mit dem Computer verbunden. Nach der Eingabe des Codes sind damit sämtliche digitalen Kontobewegungen und nicht nur eine möglich.

Das Problem: Diese Form von Online-Banking entspricht nicht den PSD2-Anforderungen, weil es keine Zwei-Faktor-Authentisierung (s.o.) ermöglicht. Außerdem lässt sich das Kennwort von Dritten mit eingeschleuster Schadsoftware abfangen und kopieren.

Wie hat Ihnen der Artikel gefallen?

30
3