Onlinebanking: Wie sicher ist welches TAN-Verfahren?

Stand:
Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.
Tan Generator vor Bildschirm

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst.
On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Die europäische Zahlungsdienste-Richtlinie war der Anlass, dass Banken und Sparkassen seit 14. September 2019 neue TAN-Verfahren eingeführt haben. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, lesen Sie in diesem Beitrag.

Was gilt beim Online-Shopping mit einer Bankkarte, wie einer Kreditkarte?

Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet greifen spätestens seit 15. März 2021. Seitdem reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – soll es Kartenzahlungen auch an der virtuellen Kasse nicht mehr geben. Das gilt für Onlinehändler oder andere Webseitenbetreiber, bei denen Sie mit Karte zahlen können.

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.

Video laden "TAN-Verfahren: Welche gibt es und wie sicher sind sie?"

Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Die Verfahren und ihre Kurzbewertung im Überblick

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die Sie tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhalten Sie diese als SMS auf Ihr Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Diese Methode ist relativ sicher, aber das Handy kann gestohlen und die TAN abgefangen werden. Das zuständige Bundesamt BSI warnt, dass das Abfangen von SMS Kriminellen mit entsprechendem Vorwissen gelingen kann.

Push-TAN / AppTAN: App auf dem Handy

Kurzbeschreibung: Auch hier wird für jede Überweisung, die Sie tätigen möchten, die TAN angefordert. Im Unterschied zur mTAN nutzen Sie hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit. Das zuständige Bundesamt BSI sagt, dass die Sicherheit des TAN-Verfahrens erhöht werden kann, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. 

Es ist eine Diskussion entbrannt, wie TAN-Generierungen zu bewerten sind, die zwar mit verschiedenen Apps, aber auf einem Gerät durchgeführt werden. Anlass bot ein Urteil des Landgerichts Heilbronn vom 16. Mai 2023 (Az: Bm 6 O 10/23, 6 O 10/23). 

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

Beachten Sie: Einige Verfahren erfordern die Eingabe eines Passworts zur Nutzung. Zum Teil können auch biometrische Merkmale wie der Fingerabdruck oder die Gesichtserkennung die Eingabe von Passwörtern ersetzen.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Weitere Ausnahmen finden Sie in diesem Beitrag.

Tipps für Sicherheit beim Onlinebanking

  • Erstellen Sie für Ihren Banking-Zugang ein starkes Passwort, das Sie nirgendwo anders nutzen!
  • Bewahren Sie die Zugangsdaten an einem sicheren Ort auf und teilen Sie sie niemandem per E-Mail oder SMS mit.
  • Online-Banking sollten Sie nie in einem öffentlichen WLAN betreiben. Ausnahme: Sie nutzen einen VPN-Tunnel.
  • Wie beim Verlust Ihrer Karte sollten Sie auch den Verlust des Smartphones bei der Bank melden, deren Banking-Apps Sie nutzen.

Dieser Inhalt wurde von der Gemeinschaftsredaktion in Zusammenarbeit mit den Verbraucherzentralen Hessen und Nordrhein-Westfalen für das Netzwerk der Verbraucherzentralen in Deutschland erstellt.

Fernbedienung wird auf Fernseher gerichtet

Klage wegen service-rundfunkbeitrag.de gegen SSS-Software Special Service GmbH

Die SSS-Software Special Service GmbH macht auf service-rundfunkbeitrag.de nicht ausreichend kenntlich, dass sie Geld für eigentlich kostenlosen Service verlangt. Der Verbraucherzentrale Bundesverband klagt vor dem OLG Koblenz auf Unterlassung und hat eine Sammelklage eingereicht.
Grafische Darstellung einer Frau, die ungeduldig auf ihre Armbanduhr schaut. Rechts daneben befindet sich das Logo von Cleverbuy, darunter eine Grafik von einem Smartphone, von der ein roter Pfeil auf einen Stapel Euroscheine führt. Rechts daneben befindet sich ein großes, rotes Ausrufezeichen, in dem "Warnung" steht.

Warnung vor Cleverbuy: Auszahlung lässt auf sich warten

"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.
Besorgt dreinblickender Mann, der auf seine Kreditkarte schaut, während er mit seinem Mobiltelefon spricht.

Der vzbv stellt fest: Banken tun nicht genug gegen Kontobetrug

Opfer von Kontobetrug bleiben in vielen Fällen auf dem Schaden sitzen, denn: Banken werfen ihnen grobe Fahrlässigkeit vor. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) müssten Banken jedoch mehr tun, um Verbraucher:innen zu schützen.