mTAN-Verfahren: Bedeutung, Sicherheit und Nachfolger 2026

Was ist das mTAN-Verfahren? Definition und Funktionsweise

Das mTAN-Verfahren ist eine Methode zur sicheren Freigabe von Online-Banking-Transaktionen per SMS. mTAN steht für mobile Transaktionsnummer – du wirst dem Begriff auch als SMS-TAN oder mobileTAN begegnen. Alle drei Bezeichnungen meinen exakt dasselbe Verfahren.

Der Ablauf ist denkbar einfach: Du loggst dich in dein Online-Banking ein, gibst die Überweisungsdaten ein – Empfänger, IBAN, Betrag – und bestätigst. Die Bank sendet daraufhin automatisch eine TAN per SMS an dein hinterlegtes Mobiltelefon. Diese TAN gibst du im Browser-Fenster ein, und die Transaktion wird freigegeben. Die TAN ersetzt dabei rechtlich deine Unterschrift.

Technisch besteht die TAN in der Regel aus sechs Ziffern. Sie ist zeitlich begrenzt gültig – meist nur wenige Minuten – und gilt ausschließlich für genau diese eine Transaktion. Eine bereits verwendete oder abgelaufene TAN ist wertlos.

Das Verfahren erfüllt das Prinzip der Zwei-Faktor-Authentifizierung (2FA): Der erste Faktor ist dein Wissen – also PIN oder Passwort für das Online-Banking. Der zweite Faktor ist dein Besitz – konkret dein Mobiltelefon mit der hinterlegten SIM-Karte. Erst die Kombination beider Faktoren erlaubt die Transaktion. Du brauchst dafür zwei Geräte: einen Computer oder ein Tablet mit Internetzugang sowie ein Mobiltelefon mit Empfang.

Ein wichtiges technisches Detail ist das sogenannte Dynamic Linking: Bei einer korrekten Implementierung fließen Überweisungsbetrag und Zielkontonummer direkt in die Erzeugung der TAN ein. Das bedeutet: Die TAN ist nicht nur transaktionsspezifisch, sondern auch betragsgebunden. Eine nachträgliche Manipulation der Überweisungsdaten – etwa durch Schadsoftware im Browser – würde die TAN ungültig machen, weil sie nicht mehr zu den veränderten Daten passt. Ob Banken Dynamic Linking tatsächlich korrekt umsetzen, ist allerdings nicht immer transparent.

Historisch betrachtet galt mTAN lange als fortschrittliches Sicherheitsverfahren. Der TÜV Rheinland zertifizierte das mTAN-System der Postbank bereits 2006 als wirksam abgesichert. Ein Jahr später, Mitte 2007, erhielt auch die Fiducia IT AG – damals IT-Dienstleister der Volks- und Raiffeisenbanken – eine entsprechende Zertifizierung. Zum damaligen Zeitpunkt war die Kombination aus Online-Banking-Passwort und SMS-TAN tatsächlich ein deutlicher Fortschritt gegenüber statischen Papierlisten.

Was sich seitdem verändert hat: die Angriffsmethoden. Kriminelle haben Wege gefunden, SMS abzufangen, Mobilfunknetze zu manipulieren und Smartphones zu infizieren. Was 2006 als sicher galt, ist heute ein anerkanntes Sicherheitsrisiko – und das nicht nur nach Meinung einzelner Experten, sondern laut offizieller Einschätzung der zuständigen Behörden.

Sicherheitslücken: Warum das BSI mTAN als unsicher einstuft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht keinen Hehl aus seiner Einschätzung: mTAN gilt offiziell als unsicher, und das BSI empfiehlt ausdrücklich, auf das Verfahren zu verzichten. Diese Einschätzung ist nicht neu, aber sie wird von Jahr zu Jahr durch neue Angriffsfälle bestätigt.

SIM-Swapping: Die gefährlichste Angriffsmethode

Beim SIM-Swapping bringen Betrüger einen Mobilfunkanbieter dazu, deine Telefonnummer auf eine eigene SIM-Karte zu übertragen. Das klingt aufwendig – ist es aber nicht, wenn Kriminelle bereits deine persönlichen Daten gestohlen haben. Mit gefälschten oder gestohlenen Identitätsnachweisen beantragen sie beim Anbieter eine neue SIM mit deiner Nummer. Ab diesem Moment landen alle eingehenden SMS – einschließlich deiner mTANs – beim Angreifer.

Voraussetzung ist in der Regel, dass die Online-Banking-Zugangsdaten bereits kompromittiert sind. Der typische Ablauf: Erst infizieren Kriminelle deinen Computer mit Schadsoftware, um Passwort und Kundendaten zu stehlen. Dann beantragen sie per SIM-Swapping die Umleitung deiner Nummer. Schließlich räumen sie dein Konto leer – mit deinen eigenen Zugangsdaten und deinen eigenen TANs.

In Deutschland verursachte SIM-Swapping zwischen 2013 und 2015 einen Gesamtschaden von über einer Million Euro. Die Einzelschäden lagen meist im fünfstelligen Bereich. In den USA schätzt das FBI den jährlichen Schaden durch SIM-Swapping auf rund 70 Millionen US-Dollar.

Mobilfunkanbieter haben reagiert: SIM-Karten werden heute nur noch an die bekannte Kundenadresse verschickt, im Shop ist ein Ausweisdokument erforderlich, und bei Beantragung einer Multi-SIM erhält die Haupt-SIM eine Benachrichtigung. Eine Untersuchung aus dem Jahr 2024 ergab, dass Telekom, 1&1 und Telefónica (o2) keine nennenswerte Zunahme von SIM-Swapping-Fällen in Deutschland festgestellt haben. Auch BKA und LKA Niedersachsen bewerten SIM-Swapping derzeit nicht als größeres Problem hierzulande. In den USA hingegen bleibt das Problem massiv.

SS7-Schwachstellen: Angriff auf das Mobilfunknetz selbst

Das Signalisierungsprotokoll SS7, das Mobilfunknetze weltweit zur Kommunikation nutzen, enthält bekannte Sicherheitslücken. Angreifer mit Zugang zu diesen Protokollen können SMS abfangen oder umleiten – ohne dass du oder dein Anbieter es bemerken. Dieser Angriffsvektor ist technisch anspruchsvoll, aber für staatliche Akteure und gut ausgestattete kriminelle Gruppen durchaus realistisch.

Malware auf dem Smartphone

Wenn du Online-Banking und TAN-Empfang auf demselben Gerät nutzt – also Banking-App und SMS auf dem gleichen Smartphone –, verlierst du den entscheidenden Vorteil der Zwei-Faktor-Authentifizierung. Schadsoftware, insbesondere auf Android-Geräten, kann sowohl deine Zugangsdaten als auch eingehende TANs abgreifen. Kriminelle verbreiten zu diesem Zweck gefälschte Banking-Apps oder manipulierte Update-Pakete.

Phishing und kombinierte Angriffe

Gefälschte E-Mails, täuschend echte Nachbauten von Banking-Webseiten und fingierte Telefonanrufe dienen dazu, Zugangsdaten und TANs direkt beim Nutzer abzufragen. Beim kombinierten Angriff – PC-Infektion plus SIM-Swapping – greifen mehrere Methoden ineinander. Das Ergebnis: Kriminelle kontrollieren sowohl den ersten als auch den zweiten Faktor der Authentifizierung.

Regulatorischer Rahmen: PSD2, SCA und die Zukunft von mTAN

Hinter der schrittweisen Abschaffung von mTAN steckt nicht nur technische Vernunft, sondern auch regulatorischer Druck aus Brüssel. Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) hat die Spielregeln für Online-Banking in Europa grundlegend verändert.

In Deutschland trat die entscheidende Pflicht am 14. September 2019 in Kraft. Ab diesem Datum sind Papier-TAN-Listen – die sogenannten iTAN-Listen – verboten. Wer noch eine solche Liste in der Schublade hatte, konnte sie wegwerfen. Banken durften dieses Verfahren nicht länger anbieten.

Der Kern der PSD2 ist die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Sie schreibt vor, dass Zahlungen durch mindestens zwei unabhängige Faktoren aus drei Kategorien abgesichert werden müssen: Wissen (z. B. PIN oder Passwort), Besitz (z. B. Mobiltelefon oder TAN-Generator) und Inhärenz (z. B. Fingerabdruck oder Gesichtserkennung). Die Faktoren müssen voneinander unabhängig sein – ein Angriff auf einen Faktor darf den anderen nicht gefährden.

Genau hier liegt das Problem mit mTAN. Die Europäische Bankenaufsichtsbehörde (EBA) hat das Verfahren weder explizit verboten noch explizit erlaubt. Die Konformität mit PSD2 hängt von der konkreten Umsetzung ab – insbesondere von der Qualität der TAN-Erzeugung und der korrekten Implementierung des Dynamic Linking. Banken, die mTAN ohne Dynamic Linking betreiben oder bei denen die TAN-Erzeugung nicht an Betrag und Zielkonto geknüpft ist, bewegen sich in einer regulatorischen Grauzone.

Bereits 2012 – also sieben Jahre vor PSD2 – hatte die europäische Netz- und Informationssicherheitsbehörde ENISA mTAN als mögliche Option für sicheres Online-Banking genannt. Allerdings unter einem klaren Vorbehalt: Die Sicherheit des Mobiltelefons müsse gewährleistet sein. Dieser Vorbehalt klingt heute fast prophetisch, angesichts der Malware-Problematik auf Smartphones.

Das BGH-Urteil aus dem Jahr 2017 betrifft einen anderen Aspekt: die Gebühren. Der Bundesgerichtshof entschied, dass Banken ausschließlich für TANs Gebühren erheben dürfen, die tatsächlich zur Durchführung einer Transaktion genutzt wurden. Für verfallene TANs, technisch fehlgeschlagene SMS oder nicht verwendete Codes darf keine Gebühr berechnet werden. Das Urteil schützte Verbraucher vor einer verbreiteten Praxis, bei der Banken auch für wirkungslose SMS kassierten.

Der regulatorische Druck ist damit einer der Haupttreiber für die schrittweise Abschaffung von mTAN durch deutsche Banken. Wer PSD2-konform bleiben will, muss entweder mTAN mit hohem technischen Aufwand nachbessern oder auf modernere Verfahren umsteigen. Die meisten Banken haben sich für Letzteres entschieden.

SMS-TAN-Gebühren: Was Banken verlangten und was der BGH entschied

Das mTAN-Verfahren war für viele Bankkunden nicht nur ein Sicherheitsthema, sondern auch eine Kostenfrage. Mindestens 57 Banken erhoben laut einer Untersuchung aus dem Jahr 2017 Gebühren für den Versand von SMS-TANs. Die Spanne war erheblich.

Dabei lagen die tatsächlichen Versandkosten für Banken je SMS bei marktüblichen 0,045 bis 0,075 Euro. Was Banken ihren Kunden berechneten, lag in vielen Fällen deutlich darüber – und das unabhängig davon, ob die TAN überhaupt genutzt wurde.

Der Bundesgerichtshof setzte dem 2017 Grenzen. Das Urteil war eindeutig: Banken dürfen nur für tatsächlich zur Transaktion genutzte TANs Gebühren erheben. Für verfallene TANs – also solche, die der Kunde nicht innerhalb des Zeitfensters eingegeben hat – ist keine Gebühr zulässig. Gleiches gilt für technisch fehlgeschlagene SMS. Kunden, die für solche Fälle belastet worden waren, hatten Anspruch auf Rückerstattung.

Die folgende Tabelle zeigt, was ausgewählte Banken um 2017 pro SMS-TAN verlangten:

Das Urteil hatte praktische Konsequenzen: Banken mussten ihre AGB anpassen und konnten nicht länger pauschal für jeden SMS-Versuch abrechnen. Für Verbraucher bedeutete es, dass sie zu Unrecht erhobene Gebühren zurückfordern konnten. Das BGH-Urteil ist damit ein wichtiger Meilenstein im Verbraucherschutz rund um das mTAN-Verfahren – auch wenn das Verfahren selbst inzwischen auf dem Rückzug ist.

mTAN-Abschaffung: Welche Banken steigen wann aus?

Die Abschaffung des mTAN-Verfahrens ist kein Zukunftsszenario mehr – sie ist in vollem Gange. Mehrere große deutsche Banken haben das Verfahren bereits eingestellt oder konkrete Abschalttermine kommuniziert. Für Kunden, die noch mTAN nutzen, wird die Zeit knapp.

Den Anfang machte die Renault Bank, die mTAN bereits 2022 vollständig abschaltete. Kunden mussten auf alternative Verfahren umsteigen, um weiterhin Online-Banking nutzen zu können.

Die Postbank und die Berliner Sparkasse folgten in den Jahren 2023 und 2024. Auch die Consorsbank hat das Verfahren eingestellt. Die Liste wächst stetig.

Das prominenteste Beispiel ist die Deutsche Bank: Sie stellt mobileTAN im August 2025 vollständig ein. Kunden, die bis dahin nicht auf ein alternatives Verfahren umgestellt haben, verlieren schlicht den Zugang zum Online-Banking. Sie können keine Überweisungen mehr tätigen, keine Daueraufträge einrichten, keine Kontoauszüge abrufen – bis sie das Verfahren gewechselt haben.

Das ist keine leere Drohung. Banken haben keine Möglichkeit, Ausnahmen zu machen, ohne gegen regulatorische Anforderungen zu verstoßen. Wer also noch mTAN nutzt und bei einer der betroffenen Banken Kunde ist, sollte jetzt handeln – nicht erst kurz vor dem Abschalttermin, wenn Hotlines überlastet sind.

Was solltest du jetzt tun? Prüfe zunächst, ob deine Bank mTAN noch anbietet oder einen Abschalttermin kommuniziert hat. Wechsle frühzeitig auf ein alternatives Verfahren – idealerweise auf chipTAN oder pushTAN. Die Umstellung dauert in der Regel nur wenige Minuten und ist kostenlos. Warte nicht bis zur letzten Woche vor dem Abschalttermin.

Sicherheitsvergleich: mTAN vs. chipTAN, pushTAN, photoTAN und TOTP

Wenn mTAN wegfällt, stellt sich die Frage: Was kommt stattdessen – und wie sicher sind die Alternativen wirklich? Die gute Nachricht: Die Nachfolger sind in nahezu allen Fällen deutlich besser. Die schlechte Nachricht: Auch bei modernen Verfahren gibt es Fallstricke, wenn man sie falsch einsetzt.

chipTAN: Der Goldstandard für Sicherheitsbewusste

chipTAN – auch als eTAN oder smartTAN bekannt – gilt als eines der sichersten verfügbaren TAN-Verfahren. Du steckst deine Girocard in einen kleinen, externen TAN-Generator, der keinerlei Internetverbindung hat. Das Gerät liest die Transaktionsdaten direkt vom Bildschirm (per Flickercode oder Chip-Kontakt) und erzeugt daraus eine TAN. Da der Generator offline arbeitet, gibt es keinen Angriffspunkt über das Netz. SIM-Swapping ist irrelevant, SS7-Lücken spielen keine Rolle, und Malware auf deinem Computer kommt nicht an die TAN-Erzeugung heran.

Der Bundesverband der Verbraucherzentralen empfiehlt chipTAN ausdrücklich als beste Alternative zu mTAN. Der einzige Nachteil: Du musst ein dediziertes Gerät kaufen. Die Kosten liegen meist zwischen 10 und 20 Euro – eine einmalige Investition für deutlich mehr Sicherheit.

photoTAN: Offline und sicher

Bei photoTAN scannst du einen QR-Code oder eine verschlüsselte Grafik auf deinem Computerbildschirm mit einer App oder einem dedizierten Lesegerät. Die TAN-Erzeugung erfolgt offline. Das macht photoTAN sehr robust gegen netzbasierte Angriffe. Die Malware-Anfälligkeit ist gering, solange du ein separates Gerät zur TAN-Erzeugung verwendest.

pushTAN und AppTAN: Bequem, aber mit Einschränkungen

pushTAN ist das Verfahren, auf das viele Banken als erstes umsteigen. Die TAN wird über eine separate, passwort- oder biometriegeschützte Bank-App generiert und direkt in der App freigegeben. Die Transaktionsdaten werden zur Kontrolle in der App angezeigt – du kannst also prüfen, ob Betrag und Empfänger stimmen, bevor du bestätigst.

Das BSI bewertet pushTAN grundsätzlich positiv. Aber: Wenn du Online-Banking und pushTAN-App auf demselben Smartphone nutzt, verlierst du den Vorteil der Gerätentrennung. Malware, die dein Smartphone infiziert, könnte theoretisch beide Faktoren gleichzeitig kompromittieren. Die BSI-Empfehlung ist eindeutig: Banking und TAN-Erzeugung immer auf unterschiedlichen Geräten.

TOTP: Unabhängig vom Mobilfunknetz

Zeitbasierte Einmalpasswörter (TOTP) über Authenticator-Apps wie den Google Authenticator oder Authy funktionieren vollständig unabhängig vom Mobilfunknetz. Die App erzeugt alle 30 Sekunden einen neuen Code – ohne SMS, ohne Internetverbindung. SIM-Swapping ist damit strukturell ausgeschlossen. TOTP ist deutlich sicherer als mTAN, wird aber im deutschen Retail-Banking noch selten angeboten.

Die folgende Tabelle gibt dir einen strukturierten Überblick über alle gängigen Verfahren:

Die Empfehlung der Verbraucherzentralen ist klar: Wer maximale Sicherheit will, greift zum TAN-Generator (chipTAN). Das Gerät kostet einmalig zwischen 10 und 20 Euro, arbeitet ohne Internetverbindung und ist gegen alle netzbasierten Angriffe immun. Für alle, die lieber eine App-Lösung nutzen, ist pushTAN eine gute Wahl – aber nur mit konsequenter Gerätentrennung zwischen Banking-Computer und TAN-App-Smartphone.

Die historische Entwicklung zeigt, wie sich die Sicherheitsbewertung verändert hat: 2006 und 2007 erhielt mTAN noch TÜV-Zertifizierungen. Ab 2013 häuften sich SIM-Swapping-Angriffe. Mit PSD2 ab 2019 geriet mTAN regulatorisch unter Druck. Und seit 2022 schalten Banken das Verfahren der Reihe nach ab. Der Wandel von einer zertifizierten Sicherheitslösung zum abzuschaffenden Auslaufmodell dauerte weniger als 20 Jahre.