Bezahlen

mTAN: So läuft das Identifizierungsverfahren mit SMS

von Thorsten Schierhorn, 10.08.2021

Der Zugriff auf Ihre Fotos in der Cloud, der Account bei Google oder Apple, das Konto im Webshop: Manchmal reicht ein Passwort, und schon ist der Weg frei? Nicht, wenn mTAN im Spiel ist. Denn das steht wie ein Wächter vor der Tür und achtet darauf, dass wirklich nur Sie eingelassen werden. Was dahinter steckt, wie das Verfahren funktioniert und warum es im europäischen Online-Zahlungsverkehr nicht mehr zum Einsatz kommt, lesen Sie hier.

Themen in diesem Artikel

Das mTAN-Verfahren bestätigt, dass Sie wirklich Sie sind

Das mTAN-Verfahren ist auch unter dem Namen mobileTAN oder smsTAN bekannt. Gemeint ist in allen Fällen dasselbe: Mit dieser Methode können Sie im Internet nachweisen, dass Sie auch wirklich der sind, der Sie behaupten zu sein. Zum Beispiel der rechtmäßige Besitzer eines Facebook-Accounts, über den Sie etwas posten wollen. Oder der richtige Apple-User, der ein zweites Gerät anmelden möchte. Oder der Nutzer eines Kundenkontos in einem Onlineshop.

Häufig genügen für den Log-in der Benutzername und ein Passwort. Doch beides kann von Hackern heimlich abgefangen werden, um damit zunächst unbemerkt in ein Konto einzudringen. Um wirklich sicher zu sein, dass nur der rechtmäßige Besitzer Zugriff erhält, müssen strengere Sicherheitsverfahren her. Eines davon ist das mTAN-Verfahren.

So funktioniert das mTAN-Verfahren

Beim mTAN-Verfahren müssen Sie beim Zugriff auf ein Onlinekonto eine sogenannte TAN eingeben – zusätzlich zum Passwort. TAN steht für Transaktionsnummer und ist ein Code, der normalerweise aus sechs Ziffern besteht. Diese TAN kommt vom Kontoanbieter. Für jeden Zugriff gibt es eine neue. Eine TAN ist jeweils nur kurze Zeit gültig. Wenn Sie den Code nicht rechtzeitig (oder verkehrt) eingeben, müssen Sie einen neuen anfordern. Den alten können Sie nicht mehr verwenden. 

Wie aber kommen Sie an die TAN? Ganz einfach: Sie erhalten den Code per SMS. Deshalb heißt das Verfahren auch mobileTAN und smsTAN. Denn ohne Mobilgerät mit passender SIM-Karte, wo die SMS mit der TAN geschickt wird, geht nichts. Entsprechend schwer fällt es Betrügern, sich im Internet als jemand anderes auszugeben.

Die Methode, sich auf zwei unterschiedlichen Wegen auszuweisen (also zum Beispiel mit Passwort und TAN), nennt der Fachmann Zwei-Faktor-Authentifizierung. Der Name ist Programm: Es gibt zwei Faktoren, mit denen der rechtmäßige Besitzer einer Kreditkarte oder eines Kontos authentifiziert wird (= auf seine „Echtheit“ geprüft).

Für eine „starke“ Zwei-Faktor-Authentifizierung müssen nicht nur beide Faktoren erfüllt, sprich: beide Nachweise erbracht sein. Obendrein sollten die beiden Faktoren auch noch aus zwei verschiedenen Kategorien stammen. Der eine Faktor kann zum Beispiel auf das Wissen des Nutzers setzen (etwa indem er ein Passwort eingeben muss) und der andere darauf, dass der Nutzer etwas besitzt (wie das Smartphone, auf dem die SMS landet).

Mehr dazu erfahren Sie im Artikel „Zwei-Faktor-Authentifizierung: Was ist das? Was benötige ich?“.

Wenn Sie mit dem mTAN-Verfahren einen Ihrer Online-Accounts schützen wollen, prüfen Sie zunächst, ob es in Ihrem Fall angeboten wird. Viele Unternehmen haben es seit 2019 abgeschafft (Näheres dazu im Kapitel „Für Bankgeschäfte ist mTAN nicht mehr sicher genug”) und durch ein anderes Verfahren ersetzt. Solange es nicht um Finanztransaktionen geht, ist es aber weiterhin erlaubt. Es gibt es unter anderem noch bei Apple, Google und Facebook (Stand: September 2020).

Mann sitzt vorm Laptop und tippt etwas in die Tastatur
© istock/Steven John Hall/2020  Wenn Ihr Online-Account per mTAN geschützt ist, kann sich niemand an Ihrer Stelle darin einloggen – selbst wenn er Ihr Passwort kennt.

Für Bankgeschäfte ist mTAN nicht mehr erlaubt

Lange Zeit wurde das Verfahren auch beim Online Banking eingesetzt und beim Bezahlen per Kreditkarte im Internet. Ab Herbst 2019 aber haben viele Nutzer eine E-Mail oder einen Brief von Ihrer Bank erhalten. Inhalt: Das mTAN-Verfahren in der bisherigen Form wird abgeschafft, die Nutzer sollen auf sichereres Verfahren umsteigen. Denn in der Vergangenheit war es Betrügern immer öfter gelungen, sich zumindest zeitweise die Mobilfunknummer von anderen zu erschleichen.

Der Gesetzgeber reagierte mit einer EU-Richtlinie, der sogenannten PSD2. Sie ist im September 2019 in Kraft getreten. Seitdem ist eine Zwei-Faktor-Authentifizierung für die meisten Online-Finanzgeschäfte Pflicht. Nach einem Jahr Übergangsfrist kam damit das Aus für die mTAN in ihrer bisherigen Form. Der Grund: Sie erfüllt nicht mehr alle aktuellen Anforderungen der Zwei-Faktor-Authentifizierung.

Viele Banken haben deshalb spätestens zum Ende der Übergangsfrist Ende 2020 ein anderes Authentifizierungsverfahren eingeführt, etwa pushTAN, das mit einer bankeigenen App funktioniert (einen Überblick über die verschiedenen Optionen finden Sie im Artikel „Die Nummer sicher: Die wichtigsten TAN-Verfahren im Online-Banking“).

Andere Anbieter – auch welche ohne Finanzgeschäfte – haben nachgezogen. Zum Beispiel hat der Postversender DHL das Verfahren abgeschafft. Vorher gab es die SMS mit einem Code, mit der man eine Sendung aus einer Packstation abhohlen konnte. Hier gibt es jetzt ebenfalls eine eigene App oder alternativ die TAN per E-Mail.

Was auch möglich ist: Bei der Einrichtung des mTAN-Verfahrens wählt der Nutzer ein zusätzliches Sicherheitsmerkmal, zum Beispiel ein Passwort. Das muss er von da an zusammen mit der TAN eingegeben, die weiterhin per SMS aufs Handy kommt. Mit dem Passwort, das nur der Nutzer kennen sollte, ist dann ein zweiter Faktor erfüllt. 

Wie hat dir der Artikel gefallen?

15
10

Das könnte Sie auch interessieren: