TAN-Verfahren im Vergleich – smsTAN, photoTAN, chipTAN & Co.

0

Das TAN-Verfahren sorgt für einen sicheren, reibungslosen Ablauf des Online-Bankings. Vorbei sind allerdings die Zeiten, in denen die Codes auf Papier gedruckt wurden. Bei den neuen Verfahren erzeugt der Kunde seine TAN selbst. Wir haben uns umgeschaut, welche TAN-Verfahren es gibt, für wen sie sich eignen und wie es um die Sicherheit bestellt ist.

TAN-Verfahren: das Wichtigste in Kürze

  • Eine TAN ist ein Code, der zur Freigabe eines Auftrages im Online-Banking benötigt wird.
  • Seit dem 14. September 2019 gelten nach Vorgaben der EU die alten, papierbasierten iTAN nicht mehr.
  • Es stehen unterschiedliche Verfahren zur Erzeugung einer TAN zur Verfügung.
  • Die meisten Banken bieten ihren Kunden zwei verschiedenen TAN-Verfahren an.
  • Um die maximale Sicherheit beim Onlinebanking zu erreichen, können Kunden selbst eine Menge tun.

TAN-Verfahren – was ist das?

Um Bankgeschäfte online durchzuführen, ist für jeden Auftrag wie Umbuchung oder Überweisung eine Transaktionsnummer notwendig. Diese wird als TAN (Transaktionsnummer) abgekürzt. Die TAN ist dabei so etwas wie ein PIN-Code, der einmalig verwendet wird. Der Auftrag im Online-Banking Portal wird nur freigegeben, wenn die TAN eingegeben wird. So wird sichergestellt, dass Unbefugte keinen Schaden anrichten können, wenn sich Zutritt zum Online-Banking Bereich verschafft wurde. Mittlerweile ist die TAN nicht nur erforderlich, um konkret Transaktionen durchzuführen, sondern auch, um überhaupt Zugriff auf das Konto zu haben. So wird zunächst das persönliche Passwort eingegeben und anschließend wird eine TAN für den vollständigen Login in das Banking Portal benötigt. Dieses Prozedere wird als zweistufige Kundenauthentifizierung bezeichnet.

iTAN-Listen sind abgeschafft: Das gibt es zu beachten!

Wer schon länger sein Girokonto online führt, kennt noch die Papierliste mit TAN-Codes, die regelmäßig von der Bank per Post zugeschickt wurde. Darauf befinden sich rund 100 Nummern, von denen jeweils eine für eine Transaktion verwendet wird. Sind alle Nummer aufgebraucht, wird die nächste Liste zugeschickt.

Leider hat dieses Verfahren seine Tücken, denn Betrüger konnten leicht mit sogenannten Phishing-Versuchen die TAN-Nummern abfangen und so an Gelder auf dem Bankkonto gelangen. Behörden wie das Bundeskriminalamt oder das Bundesamt für Sicherheit und Informationstechnik haben daher schon seit längerer Zeit vor den Risiken des iTAN-Verfahrens gewarnt. Das iTAN-Verfahren wurde daher zum 14. September 2019 abgeschafft. Papierlisten haben seit diesem Zeitpunkt ihre Gültigkeit verloren und gemäß der neuen Zahlungsdiensterichtlinie der Europäischen Union (PSD2) muss nun ein anderes TAN-Verfahren genutzt werden.

Was hat sich durch das neue TAN-Verfahren verbessert?

Statt Papierlisten wird die TAN-Nummer seit September 2019 zwingend dynamisch hergestellt. Das bedeutet, es werden Verfahren angewendet, die den Transaktionscode parallel zu dem beabsichtigten Geldgeschäft erzeugen. Als Sicherheitsstandards für die neueren TAN-Verfahren gelten:

  • eine TAN muss aus Daten der Transaktion erzeugt werden
  • eine TAN muss zeitlich begrenzt gültig sein
  • eine TAN wird am besten nicht im Onlinesystem selbst, sondern auf einem separaten Gerät generiert

Tipp: Banken nutzen ganz unterschiedliche Verfahren, um eine TAN zu generieren. Es empfiehlt sich daher schon gleich, wenn das Girokonto wechseln ansteht, die Sicherheitsfeatures zu überprüfen. Dabei macht es keinen Unterschied, ob es sich um ein kostenloses Girokonto oder ein Bankkonto mit Kontoführungsgebühren handelt. Filial- wie Direktbanken unterliegen denselben Sicherheitsstandards.

Wird eine TAN auch bei Kleinstüberweisungen gefordert?

Wie beim kontaktlosen Bezahlen ist es auch beim TAN-Verfahren bei einigen Banken möglich, dass auf die Eingabe des Codes verzichtet wird. In diesem Fall loggt sich der Kunde nur mit seinem persönlichen Passwort ins Onlinebanking ein, doch auf die Generierung der TAN wird verzichtet. Bietet eine Bank das an, bedeutet das, die Bank haftet für mögliche Schäden, die durch das Fehlen der TAN entstehen. Im Girokonto Vergleich ist daher unbedingt auf das Kleingedruckte zu achten.

Welche Bank bietet welches Verfahren an?

Schon vor der offiziellen Abschaffung der iTAN haben viele Banken auf neue TAN-Verfahren umgestellt. Einige beschränken sich auf ein System, bei anderen gibt es verschiedene Auswahlmöglichkeiten. Wir haben zusammengestellt, welche Bank auf welche TAN-Verfahren setzt, damit auch im Bereich Sicherheit das beste Girokonto gefunden werden kann.

Vergleich: Diese TAN-Verfahren gibt es aktuell (Stand 11/2019)

TAN-Verfahren ist nicht gleich TAN-Verfahren. Einige Methoden sind teurer als andere. Weiterhin kommt es bei der Bewertung auf die Flexibilität und die Sicherheit an. Wir haben daher die aktuell gängigen Verfahren zusammengestellt, miteinander verglichen und auf Vor- und Nachteile geprüft.

mTAN (mobile TAN) / smsTAN

smsTAN oder mTAN ist das populärste TAN-Verfahren in Deutschland. Das System hat sich bewährt und gilt als sehr sicher, wenn Onlinebanking und smsTAN auf unterschiedlichen Geräten stattfinden.

mTAN (mobile TAN) / smsTAN
VoraussetzungenFür smsTAN oder mTAN ist ein Handy, beziehungsweise ein Smartphone erforderlich. Die Mobilnummer, mit der das TAN-Verfahren genutzt wird, muss vorab bei der Bank registriert werden. Auf diese Nummer schickt die Bank einen speziellen Aktivierungscode, mit dem die Teilnahme am smsTAN-Verfahren im Portal freigeschaltet wird. So wird gewährleistet, dass Unbefugte sich keinen Zugriff verschaffen können.
FunktionsweiseDie Daten werden wie gewohnt in die Maske im Online-Banking Bereich eingegeben. Ist alles korrekt, kann mit einem Button die TAN angefordert werden, die einige Sekunden später auf das Handy geschickt wird. Nach Eingabe der TAN wird der Auftrag freigegeben.
KostenMeistens entstehen keine Kosten, es ist auch kein weiteres Gerät notwendig. Einige Banken berechnen allerdings Gebühren pro smsTAN. Daher sollte vor der Eröffnung eines neuen Girokontos unbedingt geprüft werden, ob das smsTAN-Verfahren kostenpflichtig ist oder nicht.
VorteileFür Handybesitzer ist das smsTAN-Verfahren eine praktische und zeitsparende Möglichkeit für sicheres Onlinebanking.
NachteileProbleme gibt es, wenn das Handy verloren geht. Wer Banking per App nutzt, sollte ein zweites Handy anschaffen. Außerdem berechnen manche Banken Kosten pro versendete smsTAN.
SicherheitDie Sicherheit ist gewährleistet, solange Onlinebanking und TAN nicht auf demselben Smartphone laufen. Vor dem Absenden eines Auftrages müssen Daten und Betrag auf der Vorlage überprüft werden. Außerdem sollte von immer wieder die bei der Bank hinterlegte Telefonnummer kontrolliert werden.

chipTAN / Smart-TAN

Bei diesem Verfahren wird kein Smartphone benötigt. Allerdings muss ein TAN-Generator angeschafft werden.

chipTAN / Smart-TAN
VoraussetzungenEs werden die Bankkarte und ein chipTAN-Generator benötigt, den die meisten Banken ausliefern. Die Registrierung für dieses Verfahren erfolgt online. Danach verschickt die Bank eine PIN, die zur Aktivierung der Bankkarte benötigt wird.
FunktionsweiseDie Überweisungsdaten werden wie gehabt eingegeben. Danach erscheint ein Strichcode. Die Bankkarte wird in den Generator gesteckt, um diesen Strichcode auszulesen. Nun werden noch einmal alle Daten angezeigt und bestätigt. Der Generator produziert eine TAN, die in die Maske eingegeben wird, um den Auftrag freizugeben.
KostenTAN-Generatoren werden meist nicht von den Banken gestellt und kosten ab 10 Euro.
VorteileBei diesem Verfahren können sich Unbefugte nur schwer Zugriff verschaffen, da ein separates Gerät notwendig ist. Ideal also für alle, die am Desktop ihre Bankgeschäfte erledigen.
NachteileUnterwegs ist dieses Verfahren nicht nutzbar und eignet sich daher nicht für alle, die gerne mobile Banking betreiben. Zudem entstehen Kosten für den Generator.
SicherheitAlle beteiligten Komponenten sind voneinander getrennt, was einen externen Zugriff nahezu unmöglich macht. Das Verfahren ist daher als sehr sicher einzustufen.

photoTAN

Hier werden Grafiken am Bildschirm erzeugt, die dann mit einer App oder einem Generator eingelesen werden, um die TAN zu erzeugen.

photoTAN
VoraussetzungenNach Registrierung kommt nach einigen Tagen ein Brief der Bank mit der Aktivierungsgrafik. Diese ist nur für einen bestimmten Zeitraum gültig, weshalb das Lesegerät bereits vorhanden oder die App heruntergeladen sein muss. Ist die Grafik eingelesen, erfolgt die Freischaltung.
FunktionsweiseNach Eingabe der Daten in die Maske erscheint auf dem Bildschirm eine Grafik, die mit dem Lesegerät oder der App für die photoTAN eingescannt wird. Gerät oder App wandeln den Code in eine TAN um, die dann in die Maske eingegeben wird, um den Auftrag freizugeben.
KostenDie Banken halten die App kostenlos zum Download bereit. Wer ein Lesegerät möchte, zahlt dafür etwa 15 Euro.
VorteileDie photoTAN ist für Smartphone-Besitzer, die gerne mit Apps arbeiten, eine praktische Lösung. Vor allem, wer viel unterwegs ist, kann das Verfahren kombiniert mit Handy und Laptop anwenden.
NachteileWird mit einem Lesegerät gearbeitet, ist das Verfahren auf die häusliche Anwendung beschränkt. Außerdem entstehen Kosten für das Gerät.
SicherheitDie Daten, die für die Erzeugung der TAN notwendig sind, werden auf einem anderen Gerät erzeugt, was das Verfahren sehr sicher macht. Wird die App genutzt, sorgen permanente Aktualisierung für ein Plus an Komfort. Unter dem Strich ist die Gefahr eines Missbrauchs sehr gering.

pushTAN / appTAN

Das nach der smsTAN am häufigsten genutzte Verfahren in Deutschland ist die pushTAN. Je nach Bank hat dieses Verfahren unterschiedliche Namen:

  • pushtan-App (Sparkasse)
  • BestSign (Postbank)
  • TAN2Go (DKB)
  • SpardaSecure (Sparda Bank)
pushTAN / appTAN
VoraussetzungenSmartphone und der Download der pushTAN-App sind notwendig, um am Verfahren teilzunehmen. Nach Anmeldung bei der Bank erhalten Kunden den Zugangscode für die App.
FunktionsweiseDie Maske wird im Onlinebanking wie gewohnt ausgefüllt. Danach erfolgt ein Wechsel auf die App. Dort wird die Überweisung zur Kontrolle noch einmal angezeigt und die TAN generiert, die dann im Onlinebanking eingegeben wird.
KostenDie pushTAN App ist kostenlos.
VorteileZwei Geräte sind nicht notwendig.
NachteileKeine, allerdings kann die Sicherheit erhöht werden, wenn zwei Smartphones getrennt für Banking und pushTAN-App eingesetzt werden.
SicherheitDas Verfahren gilt als sehr sicher, wenn der Download der App bei Google Play oder im Apple Store erfolgt. Probleme können allenfalls entstehen, wenn alles mit einem Handy erledigt wird und dieses abhanden kommt.

BestSign

BestSign ist das pushTAN-Verfahren der Postbank.

BestSign
VoraussetzungenDie App muss auf das Smartphone heruntergeladen werden bei Google Play oder im Apple Store.
FunktionsweiseFür die App gibt es einen Zugangscode von der Postbank. Damit wird das Verfahren freigeschaltet. Nach Eingabe der Überweisungsdaten erfolgt ein Wechsel zur App und die Überprüfung auf Richtigkeit. Danach wird die TAN von der App generiert, mit der die Überweisung gesendet wird.
KostenDie App der Postbank ist kostenlos.
VorteileEinfaches mobiles Banking ohne Extra-Gerät.
NachteileDer Download einer weiteren App ist notwendig, was Speichervolumen benötigt.
SicherheitDownload nur aus den offiziellen Stores. Das Verfahren gilt als besonders sicher, wenn zwei Smartphones zum Einsatz kommen.

QR-TAN / QR-TAN+

Bei einem QR-Code handelt es sich um einen Bezahlcode, der dem auf Verpackungen oder Rechnungen ähnlich ist. Beim Mobile Banking enthält diese Code alle relevanten Informationen für eine Überweisung.

QR-TAN / QR-Tan+
VoraussetzungenEs muss eine spezielle App der Bank mit einer integrierten Scanfunktion downgeloadet werden. Ansonsten funktioniert das Verfahren wie die photoTAN.
FunktionsweiseNach Registrierung und Freischaltung für das Verfahren liest die Kamera des Smartphones einen QR-Code aus, der nach Überprüfung der Daten eine TAN erzeugt.
KostenDie Bank stellt die App kostenfrei zur Verfügung.
VorteileDie Stiftung Warentest stuft das Verfahren als sehr sicher ein. Es werden keine weitere Geräte benötigt
NachteileKeine, die Sicherheit wird durch ein zweites Smartphone allerdings erhöht.
SicherheitAuch wenn es unwahrscheinlich ist, gelang es einem Expertenteam, das System mit einer Schadsoftware zu knacken.

TAN-Generator

Es gibt verschiedene Arten von einem TAN-Generator. Allen gemeinsam ist, dass es sich um ein externes Gerät handelt, das bei den Banken oder im Fachhandel bezogen wird.

TAN-Generator
VoraussetzungenEs ist die Anschaffung eines Gerätes und die Anmeldung am Verfahren nötig. Außerdem wird die Bankkarte verwendet.
Funktionsweise Ein TAN-Generator wird entweder individuell mit einer Kundenkarte verbunden oder kann mit verschiedenen Karten genutzt werden, was in einer Familie mit diversen Konten praktischer ist. Sobald die Karte ausgelesen ist, wird die einmalig verwendbare TAN generiert und in die Maske des Online-Bankings eingegeben.
KostenDie Kosten starten bei 10 Euro und sind in der Regel vom Bankkunden zu tragen.
VorteileEs wird ein externes Gerät verwendet, was die Sicherheit erhöht, da die TAN-Erzeugung unabhängig von PC oder Smartphone erfolgt.
NachteileDie Mobilität ist mit diesen Geräten häufig eingeschränkt, zudem entstehen Anschaffungskosten.
SicherheitAls sicherste Variante zählt der sogenannte chipTAN-Generator, den wir oben schon ausführlich beschrieben haben.

HBCI

Vor allem Firmen, die verschiedene Konten verwalten, setzen auf HBCI. Die Abkürzung steht für Home Banking Computer Interface und ist im Grunde kein typisches TAN-Verfahren.

HBCI
VoraussetzungenKartenleser und eine spezielle Software sind erforderlich. HBCI-Chipkarte und PIN werden bei der Bank beantragt. Ein Initialisierungsbrief mit 40-64 Ziffern muss vor Nutzung des Verfahrens an die Bank unterschrieben zurückgesendet werden. Dieser fungiert als eine Art digitaler Fingerabdruck.
FunktionsweiseDie Software generiert beim ersten Mal zwei digitale Schlüssel als elektronische Signatur, die auf Chipkarte gespeichert und nur mit der PIN abrufbar ist. So kann die Bank sämtliche Aufträge überprüfen. Die Überweisung wird in die Software eingegeben, dann wird der Kartenleser mit dem PC verbunden, die Chipkarte eingesteckt und mit den beiden digitalen Schlüsseln codiert. Eine gesicherte Leitung übermittelt die Transaktion an die Bank.
KostenDie Software kostet zwischen 20 und 100 Euro, hinzu kommen die Kosten für den Kartenleser mit etwa 60 Euro.
VorteileDas System ist mehrfach abgesichert mit mehreren Codes und beteiligten Komponenten. Ein Zugriff von außen ist nahezu unmöglich.
NachteileDas Verfahren ist etwas umständlich, außerdem entstehen dabei im Vergleich hohe Kosten.
SicherheitDie Kombination von Software, Kartenlesegerät und Chipkarte macht HBCI zu einem der sichersten Verfahren für Onlinebanking überhaupt.

Welches TAN-Verfahren ist am sichersten?

Korrekt angewendet, bietet jedes dieser Verfahren maximale Sicherheit. Wichtig ist, dass Smartphone und PC regelmäßig auf Viren gescannt werden. Die Stiftung Warentest spricht eine Empfehlung für chip-und photoTAN-Verfahren aus.

Kann ich die TAN-Verfahren mit der Zeit ändern?

Die meisten Banken bieten standardmäßig zwei TAN-Verfahren an. Manchmal können Kunden beide nutzen, andere verlangen die Entscheidung für eine Technologie. Ein Wechsel des TAN-Verfahrens ist immer möglich, muss jedoch beantragt werden.

Welches TAN-Verfahren passt zu mir?

Die Auswahl richtet sich nach dem persönlichen Sicherheitsbedürfnis, aber auch nach den Gewohnheiten. Wir geben die folgende Empfehlung ab:

  • Mobile Nutzer: Wer viel unterwegs ist, sollte auf pushTAN setzen, da kein weiteres Gerät benötigt wird.
  • Homebanking: Werden alle Geldgeschäfte am PC erledigt, kommt chipTAN infrage, da hierfür ein separates Gerät benötigt wird.
  • Kein Smartphone: Auf einfachen Handys lässt sich das mTAN-Verfahren durchführen.
  • Mehrere Konten: hohes Sicherheitsbedürfnis und mehrere Konten? Dann kann sich die Investition in HBCI lohnen.

Können mehrere TAN-Verfahren parallel genutzt werden?

Sofern die Bank mehrere Verfahren anbietet und die zeitgleiche Nutzung erlaubt, ist das möglich. Für jedes Verfahren ist jedoch ein eigener Antrag erforderlich. Manche Banken verlangen von ihren Kunden jedoch, sich festzulegen.

Schäden beim Onlinebanking – wer haftet?

Wer für einen Schaden beim Onlinebanking haften muss, entscheidet sich im Einzelfall. Kann der Kunde belegen, dass ein Betrüger sich Zugang zum Konto verschafft hat, haftet die Bank. Gleichzeitig kann die per Gesetz bei nicht autorisierten Zahlungsvorgängen den Kunden mit 150 Euro in Regress nehmen. Hier kommt es darauf an, ob der Kunde seiner Sorgfaltspflicht nachgekommen ist und selbst alle möglichen Vorsichtsmaßnahmen angewendet hat, um einen Betrug zu vermeiden. Daher unser Tipp: Damit man sich mit der Hausbank nicht vor Gericht treffen muss, sollten alle Sicherheitsvorkehrungen beim Onlinebanking peinlichst genau beachtet werden.

Unsere 7 Sicherheitstipps fürs Online-Banking

Damit Unbefugte sich am Konto nicht bedienen können, raten wir, auf folgende Punkte zu achten:

  1. Zugangsdaten immer an einem sicheren Ort aufbewahren.
  2. Passwörter und PINs nicht Dritten mitteilen oder per Mail und SMS verschicken.
  3. Starke Passwörter erstellen.
  4. Wunsch-PIN nicht mit Geburtstag oder Daten von Jubiläen generieren.
  5. Online-Banking nie im öffentlichen WLAN ohne VPN nutzen.
  6. Bei Verlust des Smartphones mit App direkt Meldung an die Bank erstatten.
  7. Regelmäßig Virenscanner über für das Banking genutzte Geräte laufen lassen.

Zusammenfassung

Die modernen TAN-Verfahren sind grundsätzlich sehr sicher, erfordern jedoch vom Bankkunden eine gewisse Sorgfalt, um Missbrauch zu vermeiden. Grundsätzlich gilt: Je mehr Geräte an der Erstellung einer TAN mitwirken, desto sicherer ist das Verfahren.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.