Eine junge Frau sitzt entspannt bei einer Tasse Kaffee in der Küche und nutzt auf ihrem Tablet ein TAN-Verfahren für den Online-Einkauf
Bezahlen

Die Nummer sicher: Die wichtigsten TAN-Verfahren im Online-Banking

Detlev Neumann
von Detlev Neumann, 15.09.2020

Für eine Überweisung am Bankschalter anstehen? Das ist dank Online Banking nicht mehr nötig. Über das Internet funktionieren viele Geldgeschäfte vom heimischen Computer aus oder von unterwegs mit dem Smartphone. Damit das nicht nur bequem, sondern auch abgeschirmt von böswilligen Kontoknackern ist, kommen sogenannte TAN-Verfahren zum Einsatz. Es gibt sie in mehreren Varianten, die sich in der Handhabung und dem Grad der Sicherheit unterscheiden.

Themen in diesem Artikel

Was ist ein TAN-Verfahren?

Ihr Konto geht nur Sie etwas an. Wie viel Geld darauf ist, woher es kommt und wohin es von dort geht – das sind vertrauliche und deshalb schützenswerte Informationen. Nutzen Sie Online Banking, dann sollten Sie besonders sorgfältig damit umgehen. Denn im Internet warten Gauner nur darauf, Ihre Kontodaten abzugreifen und für illegale Geschäfte zu missbrauchen. Und das natürlich auf Ihre Kosten.

Um sich als rechtmäßiger Kontobesitzer zu identifizieren, müssen Sie beim Online Banking üblicherweise Ihren Benutzernamen plus Passwort oder PIN (Persönliche Identifikationsnummer) eingeben. Möchten Sie dann zum Beispiel Rechnungen überweisen, brauchen Sie zusätzlich eine sogenannte Transaktionsnummer, kurz TAN. Diese TAN geben Sie zusätzlich ein, um die Zahlung freizugeben. Genauso läuft es, wenn Sie in einem Webshop per Kreditkarte etwas bezahlen möchten.

Diese TAN …

  • ist eine Ziffernfolge, die meistens aus 6 Stellen besteht.
  • ist jeweils nur für eine Onlinebuchung gültig. Für jeden weiteren Auftrag brauchen Sie eine neue TAN.
  • wird auf einem zweiten Gerät erzeugt.
  • hat eine begrenzte Gültigkeitsdauer.

Wie lange eine TAN verwendbar ist, hängt von der Bank ab. Bei manchen Geldinstituten erlischt ihre Funktion bereits nach 60 Sekunden, bei anderen erst nach mehreren Minuten.

Es gibt verschiedene Verfahren, wie die TAN erzeugt und an Sie übermittelt wird. Ab 2021 sind für Kreditkarten-Transaktionen nur noch jene TAN-Verfahren erlaubt, die eine „starke Kundenauthentifizierung” (engl. “Strong Customer Authentication”, abgekürzt SCA) gewährleisten. Das sind Verfahren, die auf die Zwei-Faktor-Authentisierung setzen. Die SCA soll das Bezahlen im Internet besonders sicher machen. Kriminelle haben damit so gut wie keine Chance, auf Ihre Kosten einzukaufen.

Wie sicher ist welches TAN-Verfahren?

Grafik Sicherheit von TAN-Verfahren

PushTAN-Verfahren

Das pushTAN-Verfahren setzt ein mobiles Endgerät voraus, sprich Sie brauchen ein Smartphone oder ein Tablet. Darauf müssen Sie eine spezielle App Ihrer Bank installieren. Haben Sie die erforderlichen Daten für Ihre Onlinebuchung eingegeben (geht auch über einen stationären Computer), bekommen Sie eine Push-Nachricht auf Ihr Smartphone oder Tablet.

Darin steht beispielsweise, dass ein neuer Überweisungsauftrag von Ihnen eingegangen ist. Bestätigen Sie innerhalb der App diese Mitteilung, wird Ihnen die TAN angezeigt. Anschließend geben Sie die TAN bei der Onlinebuchung an, um diese abzuschließen.

Das pushTAN-Verfahren ist kostenlos und gilt als sehr sicher – erst recht, wenn Sie die Buchung auf einem anderen Gerät vornehmen als dem Mobilgerät mit der App. Aber auch wenn beides auf demselben Gerät passiert, sind Hackerangriffe sehr unwahrscheinlich. Da Banken in der Regel unterschiedliche Apps nutzen, ist der Aufwand für Schadsoftware einfach zu hoch. Außerdem müssen Sie die App ja zusätzlich entsperren, entweder mit Passwort oder per Fingerabdruck beziehungsweise Gesichtserkennung.

Ein Mann sitzt beim TAN-Verfahren vor einem Laptop und schaut auf das Smartphone in seiner Hand
© istock/noipornpan/2018  Für das PushTAN-Verfahren ist ein Smartphone erforderlich, auf dem die Push-Mitteilung der Bank eingeht.

ChipTAN-Verfahren und smartTAN-Verfahren

Dieses Sicherheitssystem arbeitet mit einem TAN-Generator. Das ist ein kleines, handliches Gerät, das Sie bei Ihrer Bank bekommen. Es verfügt neben einer Tastatur und einem Display über einen Schlitz, in den Sie Ihre Girocard einschieben. In Verbindung mit einer animierten Balkengrafik auf dem Bildschirm Ihres Computers erstellen Sie mit dem chipTAN-Verfahren selbst Ihre jeweilige TAN.

Nachteil: Für eine Kreditkarte ist das Verfahren nicht möglich.

Das smartTAN-Verfahren funktioniert ähnlich wie die chipTAN-Methode. Im Gegensatz dazu arbeitet es ohne Girocard. Beide Verfahren bieten eine sehr hohe Sicherheit, da mit dem Computer und dem TAN-Generator zwei voneinander getrennte Geräte zum Einsatz kommen.

Für den TAN-Generator verlangen die Banken in der Regel eine einmalige Gebühr.

Eine Hand hält einen TAN-Generator für das ChipTAN-Verfahren
© istock/gopixa/2017  Das ChipTAN-Verfahren funktioniert mit einem handlichen TAN-Generator und der Girocard.

PhotoTAN-/QR-TAN-Verfahren

Im Zuge einer Onlinebuchung wird auf dem Computer ein schwarzweißer QR-Code oder eine ähnliche farbige Mosaikgrafik eingeblendet. Diese Anzeige wandeln Sie per App oder mit einem geeigneten Lesegerät in Ihre TAN um. Die geben Sie im weiteren Verlauf ein.

Die App für das Smartphone ist gratis. Sie erkennt über die eingebaute Kamera die jeweilige Grafik und ermittelt daraus die TAN.

Das Verfahren bietet eine sehr hohe Sicherheit – erst recht, wenn nicht nur das Smartphone für Online Banking genutzt wird (1-Kanal-System), sondern ein weiteres Gerät, wie ein Tablet oder PC (2-Kanal-System).

Noch sicherer ist es, wenn Sie ein photoTAN-Lesegerät der Bank benutzen. Das gibt es bei der Bank – in der Regel wird dafür eine Einmalgebühr berechnet.

HBCI-Verfahren mit Chipkarte und FinTS

Online Banking mit dem Homebanking Computer Interface (HBCI) gibt es bereits seit 1998. Um es zu nutzen, werden neben einem Computer folgende Komponenten benötigt: eine spezielle Chipkarte, eine Finanzsoftware und ein Chipkartenleser. Außerdem brauchen die Nutzer eine gesonderte Freischaltung ihrer Bank für den Service.

Was ist eine Finanzsoftware?

Was ist eine Finanzsoftware?

Eine Finanzsoftware ist ein spezielles Programm bzw. eine App für Desktop-Rechner und mobile Endgeräte.  Sie eignet sich unter anderem fürs Online-Banking und die Verwaltung von Giro- oder Sparkonten. Es gibt sowohl kostenlose als auch kostenpflichtige Lösungen von Geldinstituten sowie anderen Anbietern.

Das HBCI-Verfahren funktioniert mit zwei digitalen Schlüsseln, auch Signaturen genannt. Der eine ist privat, der andere öffentlich. Der private Schlüssel ist geheim, individuell, steckt in Ihrer Chipkarte und lässt sich nur mit einer PIN verwenden. Um damit codierte Aufträge zuzuordnen und abzuwickeln, braucht die Bank den öffentlichen, also nicht geheimen Schlüssel. Dieser ist Ihrer privaten Signatur zugeordnet. Nur, wenn beide zusammenpassen, führt die Bank Ihre Order aus.

Möchten Sie mit diesem HBCI-Verfahren eine Überweisung ausführen, tippen Sie zunächst die erforderlichen Daten in die Finanzsoftware ein. Im nächsten Schritt stecken Sie die Chipkarte in den speziellen Chipkartenleser und geben Ihre persönliche HBCI-Geheimzahl (PIN) an. Anschließend verschicken Sie den Auftrag. Die Bank gleicht ihn automatisch mit dem öffentlichen Schlüssel ab und erledigt ihn bei Übereinstimmung.

Der Online-Banking-Standard HBCI wurde weiterentwickelt und vom FinTS-Verfahren abgelöst. Dieser Financial Transaction Service bietet unter anderem eine noch sicherere Form der Verschlüsselung. Etwa 2.000 Banken und Sparkassen unterstützen FinTS.

Der Service ist vergleichsweise teuer. Sie müssen die Finanzsoftware kaufen oder abonnieren. Hinzu kommen die Kosten für den Chipkartenleser. Dafür gilt dieses Verfahren zu den sichersten.

mobileTAN-Verfahren

Diese Sicherheitstechnik basiert auf dem Handy beziehungsweise Smartphone. Haben Sie alle erforderlichen Angaben für Ihre Onlinebuchung gemacht, schickt Ihnen Ihre Bank eine SMS auf Ihr Smartphone. Diese enthält unter anderem Ihre TAN, die Sie dann für den Abschluss der Transaktion eingeben müssen. Weil beim mobileTAN-Verfahren eine SMS im Mittelpunkt steht, wird das Prinzip auch als smsTAN-Verfahren bezeichnet. Ebenfalls gebräuchlich ist der Begriff mTAN-Verfahren.

Kosten für gesonderte Geräte fallen nicht an. Einige Anbieter erheben jedoch eine Gebühr für jede SMS.

Ab 2021 ist das Verfahren für Onlinetransaktionen (zum Beispiel Bezahlen im Webshop per Kreditkarte) nicht mehr erlaubt. Zum einen könnte der Dieb eines entsperrten Smartphones die SMS mit der TAN lesen. Zum anderen können Hacker die SMS abfangen.

Ausgedient I: iTAN-Verfahren

Ursprünglich verschickten die Banken an ihre Kunden gedruckte TAN-Listen mit mehreren dieser Nummern. Doch diese waren hinsichtlich ihrer Sicherheit nicht ideal. Das Problem: Sie hätten von gutgläubigen Nutzern bei Phishing-Angriffen an Kriminelle herausgegeben werden können. Außerdem war damit keine Zwei-Faktor-Authentifizierung möglich. Deshalb wurde das System zu den oben vorgestellten Alternativen weiterentwickelt.

Weil es den vom BSI (= Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Sicherheitsmerkmalen nicht mehr entspricht, ist das iTAN-Verfahren am 14. September 2019 ausgelaufen. Das bedeutet, dass TAN-Listen ab diesem Tag nicht mehr gültig waren. Online-Banking-Kunden müssen seitdem eines der anderen Verfahren nutzen.

Münzen und ein Geldmünzen liegen auf einer TAN-Liste.
© istock/HeikeKampe/2013  Das iTAN-Verfahren mit gedruckten TAN-Listen ist nicht mehr sicher genug.

Ausgedient II: HBCI-Verfahren mit Sicherheitsdatei

Ebenfalls am 14. September 2019 kam das Ende für das HBCI-Verfahren mit Sicherheitsdatei. So hatte es die EU-Bankenaufsicht beschlossen. Denn das Verfahren genügte nicht den Anforderungen der neuen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2).

Bei dieser Methode wird vom Kunden eine Art digitale Unterschrift auf einem USB-Stick, einer SD-Karte oder einem vergleichbaren Speicher abgelegt. Geschützt wird sie durch ein Passwort. Während einer Onlinebuchung wird beispielsweise der USB-Stick mit dem Computer verbunden. Nach der Eingabe des Codes sind damit sämtliche digitalen Kontobewegungen und nicht nur eine möglich.

Das Problem: Diese Form von Online Banking entspricht nicht den PSD2-Anforderungen, weil es keine Zwei-Faktor-Authentisierung ermöglicht. Außerdem lässt sich das Kennwort von Dritten mit eingeschleuster Schadsoftware abfangen und kopieren.

Was ist die Zwei-Faktor-Authentisierung?

Die Zwei-Faktor-Authentisierung wird manchmal auch als Zwei-Faktor-Authentifizierung bezeichnet. Gemeint ist in beiden Fällen aber dasselbe: Bei einem Onlinekauf weisen Sie auf zweifachem Weg nach, dass Sie auch wirklich der Besitzer der Kreditkarte oder Girocard sind, mit der Sie bezahlen wollen. Nur ein Passwort oder nur eine PIN reichen nicht aus. Also ein Passwort plus PIN? Auch das würde nicht reichen. Denn die Zwei-Faktor-Authentisierung verlangt, dass die beiden Nachweise aus zwei dieser drei Kategorien stammen:

Grafik Kategorien Zwei-Faktor-Authentifizierung

Beispiel: Sie geben beim Onlinekauf zunächst ein Passwort ein (Wissen). Anschließend geben Sie eine TAN aus einer App ein, die Sie per Fingerabdruck öffnen (Inhärenz). Jetzt haben Sie sich zweifach als rechtmäßiger Kartenbesitzer zu erkennen gegeben und dabei zwei verschiedene Authentisierungs-Kategorien benutzt. Die Zahlung wird freigegeben, der Kauf ist abgeschlossen.

Wie hat Ihnen der Artikel gefallen?

33
3

Das könnte Sie auch interessieren: