Sicherheit im Online-Banking: Welches TAN-Verfahren?

In Deutschland nutzen knapp 60 Prozent der Bevölkerung Online-Banking. Um- und Vorsicht sind jedoch geboten, denn die Zahl der Banking-Angriffe durch Hacker nehmen zu. Sicherheit steht ganz oben beim Online-Banking.

Auch Banken haben ein großes Interesse, dass Betrüger nicht an Ihr Geld gelangen können. Sie sind daher bestrebt, die Technik beim Online-Banking so sicher wie möglich zu gestalten. Daher benutzen alle Banken neben dem Zugangsschutz zum Online-Konto mit Nutzerkennung und Passwort ein weiteres Sicherheitsverfahren, dass jeden Bankauftrag zusätzlich absichert. Das am häufigsten gebrauchte ist das sogenannte TAN-Verfahren. TAN steht für Transaktionsnummer, eine mehrziffrige Nummer, die ähnlich wie eine Unterschrift unter einen Überweisungsschein einen Bankauftrag autorisieren soll.

Sicheres Online-Banking

Wie funktioniert das TAN-Verfahren? Die Bank stellt Ihnen per SMS oder mithilfe eines TAN-Generators für jeden Bankauftrag (Transaktion oder Kontoänderung) eine TAN bereit. Sie „unterschreiben“ Ihren Auftrag mit dieser TAN und übermitteln alle Daten an die Bank. Diese prüft nun, ob der Auftrag die korrekte TAN enthält. Wenn ja, dann führt sie den Auftrag für Sie aus.

Die Sicherheit des TAN-Verfahrens und damit Ihres Online-Kontos hängt davon ab, dass niemand die TAN lesen und missbrauchen kann. Alle TANs und die Zugangsdaten müssen darum auf allen Wegen und zu jeder Zeit geheim bleiben. Denn die Bank prüft nicht, welche Person die TAN übermittelt, so wie sie auch am Geldautomaten nicht prüft, welche Person die Geheimnummer für die Bankkarte eingibt. Wer immer die „richtigen Nummern“ angeben kann, erhält das Geld.

Diese TAN-Verfahren bieten die Banken an

BankTAN-Verfahren (Computer)TAN-Verfahren (mobile Banking)
1822direkt1822TAN+, QRTAN+, mTAN1822TAN+
comdirectmTAN, photoTANmTAN, photoTAN
CommerzbankmTAN, photoTANmTAN, photoTAN
ConsorsbankSecurePlus-AppSecurePlus-App
DKBTAN2go, chipTANTAN2go, chipTAN
Hypo-VereinsbankmTAN, appTAN, photoTANappTAN
ING-DiBamTAN, Banking to go App, TAN-GeneratormTAN, Banking to go App, TAN-Generator
NetbankmTANSecureApp, mTAN
norisbankmTAN, photoTANphotoTAN
PostbankBestSign, chipTAN comfortmobile Postbank BestSign mobil
PSD BankmTAN, SmartTAN+ GeneratorSecureGo App
Santander BankSantanderSign (TouchID/FaceID), mobileTANSantanderSign (TouchID/FaceID), mobileTAN
Sparda-BankenchipTAN, spardaSecureApp, mTANSpardaSecureApp
SparkassechipTAN, mTAN, pushTANchipTAN, mTAN, pushTAN
TargoBankmTAN, pushTAN, photoTANmTAN, pushTAN, photoTAN
Volks-/RaiffeisenbankenSmartTAN plus, SmartTAn photo, mTAN, pushTANSmartTAN plus, SmartTAn photo, mTAN, pushTAN
WüstenrotmTANSecureGo App

Welches TAN-Verfahren wählen?

Die Banken bieten unterschiedliche TAN-Verfahren an, die sich in Handhabung, Komfort und Sicherheit unterscheiden. Welche die für Sie ‚beste‘ ist, hängt von vielen Faktoren ab. So werden nur wenige die Bank wechseln, nur um ein bestimmtes TAN-Verfahren zu benutzen. Wählen Sie daher von den angebotenen Verfahren das aus, das Ihnen die beste Kombination aus technischer Sicherheit und Komfort bietet.

Wichtig ist, dass Sie das gewählte Verfahren verstehen und alle Sicherheitsmaßnahmen und Anforderungen der Bank sorgfältig befolgen. Nur so kann eine sichere Technik dazu beitragen, Sie vor Schaden zu bewahren.

Nachfolgenden werden die gängigsten TAN-Verfahren vorgestellt.

TAN-Nummern auf Papier (iTAN)

Papiergebundene TAN-Listen (iTAN) bieten eine vergleichsweise geringe Sicherheit und dürfen seit dem 14. September 2019 (EU-Richtlinie) nicht mehr verwendet werden.

TAN-Listen sind zwar bequem für Bankkunden, könnten aber von Betrügern z. B. aus der Post gefischt werden. Aus technischer Sicht sollten man ein TAN-Verfahren nutzen, das die TAN auftragsgebunden erzeugt. Dies ist bei allen Verfahren außer den papiergebundenen TAN-Listen (iTAN) der Fall.

Sicherheit: Unsicher. Darf nicht mehr verwendet werden

mTAN (smsTAN, mobileTAN)

Bei diesem Verfahren geben Sie bei der Registrierung zum Online-Banking die Rufnummer Ihres Mobiltelefons an. Wenn Sie nun einen Bankauftrag online an die Bank schicken, dann erhalten Sie kurz darauf eine SMS, die die TAN für diesen Auftrag enthält. Sie geben diese TAN ein, um den Auftrag zu bestätigen.

Der Sicherheitsvorteil einer solchen „smsTAN“ oder „mTAN“ ist, dass die Bank für jeden Auftrag eine neue Transaktionsnummer erzeugt, die die Auftragsdaten (Kontonummer, Betrag usw.) als auch Datum und Uhrzeit mit einbezieht. Zusätzlich wird die TAN auf einem anderen Weg (Mobilfunk) übermittelt als Ihr Online-Bankauftrag (Internet). Betrüger müssten beide Übertragungswege gleichzeitig abhören, um den Auftrag manipulieren zu können. Schließlich werden mit der TAN auch die Auftragsdaten in der SMS angezeigt, so dass Sie diese überprüfen können, bevor Sie Ihren Auftrag bestätigen.

Die Sicherheit dieses Verfahrens ist jedoch nur gewährleistet, wenn Sie die folgenden Punkte beachten:

  • Ihr Mobiltelefon ist Ihr „TAN-Empfänger“. Melden Sie daher Diebstahl oder Missbrauch sofort der Bank und gegebenenfalls der Polizei.
  • Benutzen Sie keinesfalls ein Smartphone gleichzeitig für das Internet-Banking und als Empfangsgerät für die TAN. Damit wäre die Sicherheit der ‚zwei Wege‘ nicht mehr gegeben.
  • Vergleichen Sie bei jedem TAN-Empfang Ihre Auftragsdaten mit den in der SMS angezeigten. Brechen Sie bei Unstimmigkeiten den Auftrag ab und verständigen Sie sofort die Bank.
  • In regelmäßigen Abständen sollten Sie nachprüfen, dass die Bank die korrekte Mobilfunknummer mit Ihrem Online-Konto gespeichert hat.

Informieren Sie sich bei Ihrer Bank, welche weiteren konkreten Maßnahmen diese von Ihnen bei der Nutzung des Verfahrens erwartet.

Sicherheit: Es gilt zwar grundsätzlich als relativ sicher, sich TANs (Transaktionsnummern) per Kurzmitteilung aufs Handy senden zu erlassen. Kriminelle schaffen es jedoch immer wieder, vom Mobilfunkanbieter des Bankkunden eine neue SIMKarte zu erhalten. Auch das Bundesamt für Sicherheit in der Informationstechnik warnt davor.

PushTan

Viele Banken bieten separate Apps für das Smartphone an, die für jeden Bezahlvorgang einen Einmal-Code liefern. Der Vorteil dieser so genannten PushTAN-App: Sie brauchen nur Ihr Smartphone und können Ihre Bankgeschäfte überall erledigen. Dafür benötigen Sie zwei Apps: In der klassischen Banking-App tragen Sie wie gehabt die Daten des Kontoempfängers und die Summe ein. Die Push-TANApp erzeugt den Zahlencode – ein Zusatzgerät ist hier nicht nötig.

Sicherheit: Sehr sicher, wenn für die PushTAN-App und das Online-Banking verschiedene Geräte verwendet werden.

TAN-Generatoren

Man kann sich von der Bank einen „TAN-Generator“ zuschicken lassen, der meist in Verbindung mit der EC-Karte für jeden Geschäftsvorfall eine neue TAN generiert. Die kleinen Geräte werden zum Preis zwischen 10 und 15 Euro zur Verfügung. Der Tan-Generator ist nicht mit dem Internet verbunden kann so nur sehr schwer manipuliert werden.

TAN-Generator ohne Bankkarte: eTAN

Die einfachste Art des TAN-Generators wird „eTAN“ genannt. Der eTAN-Generator ist auf Ihr Konto registriert und kann daher nicht für andere Konten benutzt werden. Das Gerät besitzt eine Anzeige für die TAN und einen Taste, um eine TAN zu erzeugen. Einige eTAN-Generatoren haben zusätzlich einen Ziffernblock.

Für einen Bankauftrag erzeugt man durch einfachen Knopfdruck eine TAN, die im Gerät auf Basis von geheimen Schlüsseln, Datum und Uhrzeit berechnet wird. Auf Bankseite wird bei Auftragseingang die TAN gleichermaßen berechnet, und bei Übereinstimmung wird der Auftrag durchgeführt.

Sicherheit: Nicht sicher. Die Sicherheit beruht zum einen auf die im Gerät befindlichen geheimen Schlüssel und der geheimen TAN-Berechnungsmethode. Durch die Einbeziehung von Datum und Uhrzeit ist zusätzlich die TAN nur zeitlich begrenzt gültig. Ein Betrüger kann also nicht die TAN abfangen und später benutzen. Das klassische eTAN-Verfahren wird nur noch sehr selten von den Banken angeboten.

TAN-Generator mit Bankkarte (SmartTAN)

Einige TAN-Generatoren haben zusätzlich einen Einschub für eine Bankkarte. Hier wird für die Erzeugung von TANs die persönliche Bankkarte eingeführt.

Bei diesem Verfahren sind alle wichtigen und geheimen Daten für die TAN-Erzeugung in der Bankkarte enthalten. Auch die TAN wird in der Chipkarte selbst erzeugt, während der TAN-Generator nur Funktionen durchführt, die nicht für die Sicherheit der TAN-Erzeugung relevant ist.

Daher muss nur die Karte vor Diebstahl oder Verlust geschützt werden, das Gerät enthält keine sensiblen Daten und kann jederzeit ohne Sicherheitsrisiko ersetzt werden.

Sicherheit: Nicht sicher. Die generierten TANs werden nicht auftragsbezogen generiert und sind nicht zeitlich eingeschränkt.

TAN-Generator (sm@rtTAN plus / chipTAN manuell) mit Startcode

Bei einigen Banken wird zusätzlich am Anfang jedes Auftrags ein Startcode übermittelt, der den Generator mit Bankkarte freischaltet. Erst dann kann eine TAN für einen Auftrag erzeugt werden.

Zusätzlich muss bei einigen Banken die Kontonummer und der Betrag des Bankauftrags per Ziffernblock  eingegeben werden, was leider etwas aufwendig ist. Damit kann die Bank anhand der TAN prüfen, ob die Auftragsdaten möglicherweise manipuliert wurden.

Sicherheit: Sehr sicher. Dieses TAN-Verfahren bietet einen guten Schutz gegen Phishing- und Man-In-The-Middle-Angriffen.

TAN-Generator (sm@rtTAN optic / chipTAN comfort) mit Bankkarte und optischer Eingabe

Die Eingabe der Kontrollnummer und der Transaktionsdaten, wie bei dem vorherigen Verfahren (sm@rtTAN plus / chipTAN), ist vergleichsweise umständlich. Bei den TAN-Verfahren einiger Banken wird eine daher andere Funktion eingesetzt. Hierzu benötigt man einen TAN-Generator, bei dem sich auf einer Seite fünf optischen Sensoren befinden.

Nach der Eingabe des Überweisungsauftrags auf dem Computer werden die Überweisungsdaten mittels eines optischen Signals („Flickergrafik“) zurück auf das Gerät übertragen. Dazu hält der Nutzer das Gerät an die flickernde Grafik, die auf dem Computerbildschirm erscheint.

Nun wird im TAN-Generator die übertragenen Daten im Display angezeigt. Der Nutzer muss nun nachprüfen, ob die von der Bank per Flickergrafik übertragenen Überweisungsdaten mit seinen übereinstimmen. Nur wenn dies der Fall ist, aktiviert man die Generierung des TANs und bestätigt damit die Überweisung.

Wie bei allen TAN-Generatoren mit Karteneinschub muss die Bankkarte vor Diebstahl oder Verlust geschützt werden. Das Gerät selbst enthält keine sensiblen Daten.

Sicherheit: Sehr sicher. Dieses TAN-Verfahren bietet einen sehr guten Schutz. Phishing- und Man-In-The-Middle-Angriffe sind nicht möglich.

PhotoTAN

Seite Ende 2012 gibt es das sogenannte „PhotoTAN“-Verfahren:

Zunächst installieren Sie in Ihrem Smartphone eine spezielle App und registrieren diese bei der Bank (alternativ kann die Bank auch ein spezielles Lesegerät zur Verfügung stellen). Wenn Sie nun einen Auftrag an die Bank übertragen, erhalten Sie auf der Webseite ein kleines Bild zurück, welches die TAN (und die Auftragsdaten) im Bild verschlüsselt enthält. Mit dem Smartphone-App oder Lesegerät fotografieren Sie dieses Bild ab. Es wird auf dem Gerät entschlüsselt und zeigt Ihnen die TAN und Auftragsdaten an. Sie überprüfen die Korrektheit der Auftragsdaten und bestätigen diese dann im App/Lesegerät und schließlich noch einmal auf der Webseite.

Wie bei allen geräteabhängigen TAN-Verfahren müssen Sie bei Verlust oder Missbrauch des Smartphones (oder Lesegeräts) sofort die Bank und gegebenenfalls die Polizei verständigen.

Sicherheit: Sehr sicher. Die Sicherheit dieses Verfahrens liegt in der auftragsbezogenen Erzeugung der TAN bei der Bank, der sicheren Übermittlung per Bilddaten und der Entschlüsselung der Bilddaten in einem getrennten Gerät (Smartphone-App oder Lesegerät). Zusätzlich kann die Bank Aktualisierungen für das Smartphone-App bereitstellen und so die Sicherheit verbessern.

Allgemeine Sicherheitstipps fürs Online-Banking

  • Schützen Sie sich und machen Sie es sich zur Routine, als Erstes einen Virenscanner zu installieren. Virenscanner sollten heutzutage zur Standardausrüstung eines jeden Computers gehören, insbesondere wenn man Online-Banking betreibt. Es werden inzwischen zahlreiche kostenlose Virenscanner angeboten, da darf das Argument der Kosten nicht mehr gelten. Mittels der heutigen Technik ist es Hackern ohne Probleme möglich, auf ihren Computer zu stöbern und Schadprogramme abzuladen. Zahlreiche Hacker-Tools machen solche Angriffe zu einem Kinderspiel. Wer heute ohne Virenscanner im Internet surft, handelt leichtsinnig.

    Wichtig: Einige Firmen vermarkten ihre Antiviren-Produkte mit fett-gedruckten Garantien wie „Totaler Schutz“. Die Realität sieht jedoch oftmals anders aus: Antivirenprogramme sind zwar gut darin, bekannte Bedrohungen zu erkennen. Auf neue Bedrohungen reagieren sie jedoch nicht immer schnell genug. Ein Antivirus-Programm sollte daher lediglich als eine weitere Sicherheitsebene angesehen werden.
  • Kriminelle verwenden intelligente Tricks, um Sie dazu zu bringen, persönliche Informationen preiszugeben. Wenn Sie zum Beispiel eine E-Mail von „Ihrer Bank“ erhalten, in der Sie nach Ihren Kontoinformationen gefragt werden, lassen Sie sich nicht täuschen. Ihre Bank würde Sie niemals nach Ihren persönlichen Daten fragen!
  • Der häufigste Weg beim Online-Banking ist der über das Internet, also über die Verbindung zur Bank über den Webbrowser. Dabei sollte man die Adresse der Bank immer selber eintippen und möglichst nicht den Weg über einen Link (etwa aus den Ergebnissen einer Suchmaschine) wählen. Auf gar keinen Fall sollte man Links zur Webseite einer Bank anklicken, die in einer E-Mail enthalten sind. So besteht die Gefahr, dass man auf täuschend echten, aber gefälschten Bankseiten landet und dort die Eingabe von Kundenkennung und Passwort von Hackern ausgelesen und missbraucht wird.

    Hat man die korrekte Webseite der Bank aufgerufen, erscheint in der Adressleiste des Browsers ein kleines symbolisiertes Schloss (oft in Verbindung mit einer grünen Schrift). Hierbei handelt es sich um ein Sicherheitszertifikat, das die „Echtheit“ der Seite dokumentieren soll. Genauere Informationen über das Sicherheitszertifikat erhält man, wenn man mit der Maus über das Schloss navigiert.

    Sollte man verdächtige Seiten, Vorgänge oder verdächtige Mails entdeckt haben, kann man diese an die Bank weiterleiten und damit betrügerische Versuche melden.Bei der Sparkasse geht das zum Beispiel über die Mailadresse warnung@sparkasse.de.
  • Jeder Dritte nutzt inzwischen zum Online-Banking das Smartphone. Hier empfiehlt es sich, die Verbindung zum Konto nicht über die mobile Webseite der Bank herzustellen, sondern auf eine Bankingsoftware zurückzugreifen (erhältlich in den App-Stores). Der Vorteil dieser Software besteht aus seiner Kommunikation mittels eines eigenen, speziellen Verschlüsselungssystems mit der Bank, das, nach Angaben von Sicherheitsexperten, nur schwer zu hacken ist. Informationen über eine passende Software erhält man von seiner Bank. Wichtig ist es, beim Online-Banking mit PC und/oder Smartphone auf keinen Fall Passwörter lokal zu speichern. Außerdem sollte man die Software des Smartphones regelmäßig updaten und das Gerät regelmäßig auf Viren checken.
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: Tech, IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen und sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich IT-Sicherheit erworben. Er ist Mitbegründer der Initiative bleib-Virenfrei.

1 Kommentar (neueste zuerst)

  1. Ich arbeite mit VR Netword, online-Programm der Volksbank.
    Ich bearbeite damit nicht nur Volksbankkonten, sondern bisher auch Sparkassengirokonten.
    Das geht jetzt nicht mehr. Hat das damit zu tun, dass die Banken mit unterschiedlichen TAN-Verfahren arbeiten, Push-Tan (Sparkasse) SmartTan (Volksbank)?
    Gibt es dafür eine Lösung?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Aufgrund einer enormen Zunahme von Spam-Kommentaren muss ich alle Kommentare manuell freischalten. Es kann daher zu Verzögerungen bei der Veröffentlichung von Kommentaren kommen.