photoTAN: Funktionsweise, Sicherheit und Einrichtung im vollständigen Überblick

Was ist photoTAN? Definition und technische Grundlagen

photoTAN ist ein Zwei-Faktor-Authentifizierungsverfahren (2FA) für das Online-Banking. Es erzeugt eine einmalig gültige Transaktionsnummer – kurz TAN –, die ausschließlich für eine einzige Transaktion und nur für einen begrenzten Zeitraum gültig ist. Das Herzstück des Verfahrens ist eine mehrfarbige Mosaikgrafik, die optisch an einen QR-Code erinnert, aber deutlich mehr Informationen trägt.

Diese Grafik erscheint auf dem Bildschirm deines Computers oder Tablets, sobald du eine Transaktion auslöst. Sie ist bei der Einführung des Verfahrens auf etwa 3 × 3 Zentimeter ausgelegt worden – klein genug, um auf jeden Monitor zu passen, groß genug, um zuverlässig gescannt zu werden. Entscheidend ist, was in ihr steckt: sämtliche Transaktionsdaten, also Empfänger, Betrag, Kontonummer und Verwendungszweck, sind darin verschlüsselt kodiert.

Die Verschlüsselung erfolgt nach dem AES-256-Standard – dem Advanced Encryption Standard mit 256-Bit-Schlüssellänge, der heute als unknackbar gilt. Für Außenstehende ist die Grafik damit vollständig unlesbar. Nur deine photoTAN-App oder dein dediziertes Lesegerät kann sie entschlüsseln – und das geschieht ausschließlich lokal, ohne dass Daten dabei über das Internet übertragen werden.

Das Verfahren wird von einer Reihe namhafter Kreditinstitute eingesetzt. Dazu gehören die Deutsche Bank, die Commerzbank, die Norisbank und die Volkswagen Bank. Bei der Commerzbank stammt die zugrundeliegende Verschlüsselungstechnologie vom Sicherheitsspezialisten OneSpan (früher unter dem Namen VASCO bekannt). Fehlercodes mit dem Präfix „E-OS“ in der Commerzbank-App verweisen direkt auf diese OneSpan-Software.

Regulatorisch ist photoTAN auf der sicheren Seite: Das Verfahren erfüllt die Anforderungen der EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2). Diese Richtlinie schreibt eine starke Kundenauthentifizierung – auf Englisch Strong Customer Authentication, kurz SCA – vor. SCA verlangt mindestens zwei von drei Faktoren: Wissen (zum Beispiel dein Passwort), Besitz (dein Smartphone oder Lesegerät) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung). photoTAN kombiniert Wissen und Besitz und erfüllt damit die Mindestanforderung problemlos.

Was photoTAN von einfacheren Verfahren unterscheidet, ist die Tatsache, dass die Transaktionsdaten nicht nur übertragen, sondern auch zur Kontrolle angezeigt werden. Bevor du die TAN bestätigst, siehst du auf deiner App oder deinem Lesegerät genau, wohin wie viel Geld fließen soll. Das ist kein Komfortfeature – es ist ein aktiver Schutzmechanismus gegen Manipulationen, die im Hintergrund stattfinden könnten.

Schritt für Schritt: So funktioniert photoTAN beim Online-Banking

Der Ablauf einer photoTAN-gesicherten Transaktion folgt einem klar definierten Muster. Wenn du ihn einmal verstanden hast, wird dir sofort klar, warum das Verfahren so robust gegen klassische Angriffe ist – und wo dennoch Risiken lauern.

Schritt 1: Transaktion initiieren. Du loggst dich in dein Online-Banking ein und gibst eine Überweisung ein – Empfänger, IBAN, Betrag, Verwendungszweck. Bis hierhin unterscheidet sich nichts von anderen Verfahren.

Schritt 2: Mosaikgrafik erscheint. Sobald du die Transaktion absendest, wandelt das Bankensystem alle Transaktionsdaten in die charakteristische mehrfarbige Mosaikgrafik um. Diese erscheint auf deinem Bildschirm. Die Grafik ist das einzige, was du siehst – keine Klartext-Daten, keine unverschlüsselte Übertragung.

Schritt 3: Grafik scannen. Du öffnest die photoTAN-App auf deinem Smartphone oder nimmst dein dediziertes Lesegerät zur Hand und hältst es vor den Bildschirm. Die Kamera erfasst die Mosaikgrafik. Dieser Scan-Vorgang dauert in der Regel weniger als zwei Sekunden.

Schritt 4: Lokale Entschlüsselung und Kontrolle. App oder Lesegerät entschlüsseln die Grafik vollständig lokal – ohne Internetverbindung. Auf dem Display erscheinen die Transaktionsdetails: Betrag und Empfänger. Hier liegt ein entscheidender Sicherheitsmoment: Du solltest diese Angaben immer sorgfältig mit dem vergleichen, was du eingegeben hast. Weichen sie ab, brich die Transaktion sofort ab.

Schritt 5: TAN generieren. Du bestätigst die angezeigten Daten. Daraufhin generiert die App oder das Lesegerät eine siebenstellige Einmal-TAN. Diese TAN ist mathematisch an genau diese Transaktion gebunden – sie funktioniert für keine andere.

Schritt 6: TAN eingeben und freigeben. Du gibst die siebenstellige TAN in das dafür vorgesehene Feld im Online-Banking ein. Die Bank prüft die TAN serverseitig, und die Transaktion wird freigegeben.

Bei einigen Banken – etwa der Volkswagen Bank – läuft dieser Prozess noch komfortabler ab: Das sogenannte App2App-Verfahren öffnet die photoTAN-App automatisch aus der Banking-App heraus. Nach Eingabe der photoTAN-PIN wird die generierte TAN direkt in die Banking-App übernommen, ohne dass du sie manuell abtippen musst. Das spart Zeit, hat aber eine sicherheitsrelevante Kehrseite, auf die wir im Abschnitt zur Sicherheit noch eingehen.

Der wichtigste Schritt im gesamten Ablauf ist Schritt 4. Die Kontrolle der Transaktionsdaten auf dem zweiten Gerät ist kein optionaler Komfort – sie ist der eigentliche Sicherheitsmechanismus. Ein Angreifer, der deine Banking-Sitzung manipuliert hat, kann zwar die Grafik auf deinem Bildschirm verändern. Aber wenn du auf deinem separaten Gerät andere Daten siehst als erwartet, erkennst du den Angriff sofort.

photoTAN-App vs. Lesegerät: Zwei Varianten im Vergleich

photoTAN gibt es in zwei grundlegend verschiedenen Ausführungen. Welche du nutzt, hat erheblichen Einfluss auf dein tatsächliches Sicherheitsniveau – mehr als die meisten Nutzer vermuten.

Das dedizierte Hardware-Lesegerät ist ein eigenständiges Gerät, das ausschließlich für einen Zweck gebaut wurde: photoTAN-Grafiken zu scannen und TANs zu generieren. Es hat keinen Internetzugang, keine weiteren Apps, keine Bluetooth-Verbindung. Es kann schlicht nicht mit Schadsoftware infiziert werden, weil es keine Möglichkeit gibt, fremden Code darauf auszuführen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt externe TAN-Generatoren explizit als sicherste Methode. Sicherheitsforscher, die photoTAN-Apps erfolgreich angegriffen haben, bestätigen: Die Nutzung von photoTAN am PC mit einem externen Lesegerät gilt weiterhin als sicher. Der einzige Nachteil ist der Komfort – du brauchst immer das Gerät dabei.

Die Smartphone-App ist bequemer. Du hast dein Smartphone ohnehin dabei, die App ist kostenlos, und der Scan funktioniert genauso. Die Sicherheit hängt aber direkt von der Sicherheit deines Smartphones ab. Hier kommen zwei Szenarien ins Spiel, die sich fundamental unterscheiden.

Zwei-Geräte-Betrieb (sicher): Du nutzt einen PC oder Laptop für das Online-Banking und dein Smartphone ausschließlich für die photoTAN-App. Das ist das klassische Zwei-Geräte-Prinzip. Ein Angreifer müsste beide Geräte gleichzeitig unter seine Kontrolle bringen – eine enorm hohe Hürde. Sicherheitsforscher Vincent Haupert von der Universität Erlangen-Nürnberg formuliert es klar: „Das ist grundsätzlich ein sicheres Verfahren, weil daran zwei voneinander unabhängige Geräte beteiligt sind.“

Ein-Geräte-Betrieb (kritisch): Banking-App und photoTAN-App laufen auf demselben Smartphone. Da die Mosaikgrafik nicht mit demselben Gerät abgescannt werden kann, auf dem sie angezeigt wird, greift die Banking-App direkt auf die TAN-App zu. Ist das Gerät mit Malware infiziert, kontrolliert der Angreifer beide Faktoren gleichzeitig. Genau dieses Szenario haben Forscher 2016 in der Praxis demonstriert.

Die Verschlüsselungstechnologie der Commerzbank stammt vom Sicherheitsanbieter OneSpan (früher VASCO). Diese Technologie ist individuell auf die jeweilige Bank-App abgestimmt, was die generelle Angriffsfläche reduziert – aber nicht eliminiert, wenn das Gerät selbst kompromittiert ist.

Sicherheitsvergleich: photoTAN-Varianten und andere TAN-Verfahren

Ist photoTAN sicher? Schwachstellen, FAU-Studie und Angriffsvektoren

photoTAN gilt zu Recht als eines der sichersten TAN-Verfahren im deutschen Online-Banking. Aber „sicher“ ist kein absoluter Begriff – es kommt immer darauf an, wie du das Verfahren nutzt. Eine Studie aus dem Jahr 2016 hat das eindrücklich gezeigt.

Zwei Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg – Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen und Dr. Tilo Müller – demonstrierten, dass sie photoTAN-Apps von drei großen deutschen Banken erfolgreich manipulieren konnten. Betroffen waren die Apps der Deutschen Bank, der Commerzbank und der Norisbank. Das war kein theoretischer Angriff. Die Forscher konnten Überweisungsbeträge und Empfänger in Echtzeit verändern, ohne dass der Nutzer auf seinem Display irgendetwas Verdächtiges bemerkte.

Wie funktionierte das? Der Angriff setzte eine Malware-Infektion des Smartphones voraus, auf dem sowohl die Banking-App als auch die photoTAN-App liefen. Die Schadsoftware griff in die Kommunikation zwischen beiden Apps ein und manipulierte die Daten, bevor sie dem Nutzer angezeigt wurden. Das Tückische: Die auf dem Smartphone angezeigte TAN war korrekt – aber sie gehörte zu einer manipulierten Transaktion, nicht zur ursprünglich eingegebenen.

Bereits ein Jahr zuvor, 2015, hatten dieselben Forscher die pushTAN-App der Sparkasse auf identische Weise kompromittiert. Das Muster ist dasselbe: Sobald beide Faktoren auf einem einzigen, infizierten Gerät zusammenlaufen, bricht die Sicherheit des Zwei-Faktor-Prinzips zusammen.

Wichtig ist die Einordnung: Der Angriff erfordert eine aktive Malware-Infektion des Smartphones. Wer sein Gerät aktuell hält, keine Apps aus unbekannten Quellen installiert und auf offizielle App-Stores setzt, reduziert dieses Risiko erheblich. Und wer ein externes Lesegerät nutzt oder Banking und TAN-App konsequent auf getrennten Geräten betreibt, ist gegen diesen Angriff vollständig geschützt.

Ein weiterer Angriffsvektor ist Phishing auf die Aktivierungsgrafik. Betrüger bauen täuschend echte Banking-Seiten nach und versuchen, neben deinen Zugangsdaten auch die photoTAN-Aktivierungsgrafik zu erbeuten. Mit Zugangsdaten und Aktivierungsgrafik können sie dein Konto vollständig übernehmen. Die Regel ist eindeutig: Banken fragen niemals nach der Aktivierungsgrafik. Wer eine solche Anfrage erhält, hat es mit einem Betrugsversuch zu tun.

Gegenüber klassischen Man-in-the-Middle-Angriffen und Phishing auf die TAN selbst ist photoTAN bei konsequenter Zwei-Geräte-Nutzung sehr robust. Ein Angreifer, der deine Banking-Sitzung im Browser manipuliert, kann zwar die Überweisungsdaten ändern. Aber auf deinem separaten Gerät siehst du die manipulierten Daten – und kannst abbrechen.

photoTAN einrichten: Schritt-für-Schritt-Anleitung für alle Banken

Die Einrichtung von photoTAN folgt bei allen Banken einem gemeinsamen Grundmuster, auch wenn es bankspezifische Unterschiede gibt. Das Gute: Die Nutzung ist bei allen bekannten Anbietern vollständig kostenlos.

Schritt 1: App herunterladen. Lade die photoTAN-App deiner Bank aus dem Apple App Store (iOS) oder dem Google Play Store (Android) herunter. Achte darauf, die offizielle App deiner Bank zu installieren – nicht eine Drittanbieter-App. Suche direkt nach dem Namen deiner Bank kombiniert mit „photoTAN“.

Schritt 2: Aktivierungsgrafik anfordern. Du benötigst eine Aktivierungsgrafik, um die App mit deinem Konto zu verknüpfen. Diese kannst du entweder direkt im Online-Banking anfordern – dann erscheint sie auf dem Bildschirm – oder du lässt dir einen Aktivierungsbrief per Post zusenden. Letzteres dauert einige Tage, ist aber die sicherere Variante, da der Brief auf dem Postweg nicht abgefangen werden kann.

Schritt 3: Aktivierungsgrafik scannen. Öffne die photoTAN-App und wähle die Option zur Neueinrichtung oder Aktivierung. Halte die Kamera auf die Aktivierungsgrafik. Die App scannt und verknüpft sich automatisch mit deinem Konto.

Schritt 4: PIN vergeben. Du vergibst eine PIN für die photoTAN-App. Diese PIN schützt den Zugang zur App. Wähle eine PIN, die du nicht für andere Dienste verwendest.

Bankspezifische Besonderheiten – Deutsche Bank: Wenn du Probleme mit dem Aktivierungsbrief hast – etwa weil ein Brief verloren gegangen ist oder die Aktivierung fehlschlägt –, reicht ein neuer Brief allein oft nicht aus. Das photoTAN-Konto muss in diesem Fall vollständig gelöscht und neu eingerichtet werden. Wende dich dafür an den Kundenservice. Nutzer berichten, dass dieser Prozess manchmal mehrere Anläufe erfordert.

Bankspezifische Besonderheiten – Commerzbank: Die Aktivierung läuft vollständig über das Online-Banking. Wenn du den Fehlercode ECR-122 siehst, bedeutet das: Du hast die maximale Anzahl an Aktivierungen auf verschiedenen Geräten erreicht. Du musst dann eine bestehende Aktivierung löschen, bevor du ein neues Gerät hinzufügen kannst.

Bankspezifische Besonderheiten – Volkswagen Bank: Hier kommt das App2App-Verfahren zum Einsatz. Die Banking-App öffnet die photoTAN-App automatisch, wenn eine TAN benötigt wird. Nach Eingabe der photoTAN-PIN wird die TAN direkt übernommen. Du musst nichts manuell abtippen. Das setzt voraus, dass beide Apps korrekt installiert und miteinander verknüpft sind.

Hardware-Lesegerät einrichten: Wenn du das externe Lesegerät bevorzugst, bestellst du es in der Regel über deine Bank. Die Einrichtung ist minimal: Gerät einschalten, Aktivierungsgrafik scannen, fertig. Keine App, keine PIN-Vergabe in der Regel – das Gerät ist sofort einsatzbereit.

Ein kritischer Sicherheitshinweis zur Einrichtung: Die Aktivierungsgrafik ist der Schlüssel zu deinem Konto. Gib sie niemals an Dritte weiter. Gib sie niemals auf einer Website ein, die du nicht eindeutig als offizielle Banking-Seite identifiziert hast. Betrüger, die Zugangsdaten und Aktivierungsgrafik erbeuten, können dein Konto vollständig übernehmen und alle zukünftigen Transaktionen selbst autorisieren.

Fehlerbehebung: photoTAN-App scannt nicht, Fehlercodes und häufige Probleme

photoTAN funktioniert in der Praxis meistens reibungslos. Wenn es aber Probleme gibt, sind es meist dieselben wenigen Ursachen. Hier sind die häufigsten Fehler und ihre Lösungen.

Problem: Die App scannt die Mosaikgrafik nicht. Das ist das häufigste Problem überhaupt. Die Ursache ist fast immer dieselbe: Die photoTAN-App hat keinen Zugriff auf die Kamera des Smartphones. Gehe in die Einstellungen deines Smartphones, suche die photoTAN-App und stelle sicher, dass der Kamerazugriff erlaubt ist. Auf iOS findest du das unter Einstellungen → Datenschutz → Kamera. Auf Android unter Einstellungen → Apps → photoTAN → Berechtigungen.

Wenn der Kamerazugriff bereits erlaubt ist und das Scannen trotzdem nicht funktioniert, prüfe die Lichtverhältnisse. Die Mosaikgrafik muss gut beleuchtet und scharf auf dem Bildschirm zu sehen sein. Reduziere die Bildschirmhelligkeit nicht zu stark, und halte das Smartphone ruhig und im richtigen Abstand – etwa 10 bis 20 Zentimeter.

Problem: App startet nicht oder stürzt ab. Deinstalliere die App vollständig, starte dein Smartphone neu und installiere die App frisch aus dem offiziellen App Store. Nach der Neuinstallation musst du die App erneut aktivieren – halte dafür die Aktivierungsgrafik oder einen neuen Aktivierungsbrief bereit.

Fehlercode ECR-122 (Commerzbank): Dieser Code bedeutet, dass du die maximale Anzahl gleichzeitiger Aktivierungen erreicht hast. Die Lösung: Melde dich im Online-Banking an, gehe zu den photoTAN-Einstellungen und lösche eine der bestehenden Aktivierungen. Danach kannst du die App auf dem neuen Gerät aktivieren.

Fehlercodes mit Präfix E-OS (Commerzbank): Diese Codes beziehen sich auf die OneSpan-Verschlüsselungssoftware, die der Commerzbank-App zugrunde liegt. Die zuverlässigste Lösung: App vollständig deinstallieren, Gerät neu starten, App neu installieren und neu aktivieren. Wenn das Problem nach der Neuaktivierung weiterhin besteht, wende dich an den Commerzbank-Kundenservice.

Problem: Aktivierungsbrief funktioniert nicht (Deutsche Bank): Wenn der Aktivierungsbrief abgelaufen ist oder die Aktivierung mehrfach fehlgeschlagen ist, reicht ein neuer Brief allein oft nicht aus. Das photoTAN-Konto muss serverseitig vollständig zurückgesetzt werden. Das kann nur der Kundenservice der Deutschen Bank erledigen. Ruf dort an und erkläre die Situation – der Vorgang dauert in der Regel wenige Minuten am Telefon, aber du brauchst möglicherweise Geduld, da dieser Fall nicht zum Standard-Ablauf gehört.

Problem: TAN wird als ungültig abgelehnt. Prüfe zunächst, ob die Systemzeit deines Smartphones korrekt eingestellt ist. TAN-Generatoren arbeiten zeitbasiert – eine falsch eingestellte Uhrzeit kann dazu führen, dass die generierte TAN nicht zur serverseitigen Erwartung passt. Stelle die Uhrzeit auf automatisch ein. Wenn das Problem weiterhin besteht, deaktiviere und reaktiviere die App.

Alternativen zu photoTAN: pushTAN, SMS-TAN und kartenbasierte Verfahren

photoTAN ist nicht das einzige TAN-Verfahren auf dem Markt. Wer seine Bank wechselt oder wissen möchte, wie gut das eigene Verfahren im Vergleich abschneidet, sollte die Alternativen kennen.

pushTAN ist das am weitesten verbreitete Alternative zu photoTAN. Statt einer Mosaikgrafik erhältst du eine Push-Benachrichtigung in einer passwortgeschützten App. Die TAN wird direkt in der App angezeigt oder per Klick bestätigt – oft auch per Biometrie (Fingerabdruck oder Face ID). Die Sicherheitsarchitektur ist ähnlich wie bei photoTAN: kryptografische Schlüssel, Passwortschutz, Zwei-Faktor-Prinzip. Die Schwachstellen sind ebenfalls identisch. 2015 demonstrierten dieselben FAU-Forscher, die später photoTAN angriffen, dass die pushTAN-App einer großen deutschen Sparkasse durch Malware auf dem Smartphone kompromittiert werden kann. Das Muster ist dasselbe: Ein-Geräte-Betrieb mit Malware hebt den Sicherheitsvorteil auf. Bei konsequentem Zwei-Geräte-Betrieb ist pushTAN genauso sicher wie photoTAN mit App – und komfortabler, weil kein Scannen erforderlich ist.

SMS-TAN (mTAN) ist das älteste und am wenigsten sichere der drei Verfahren. Die TAN wird als SMS an dein Mobiltelefon gesendet. Das klingt einfach – und ist es auch. Aber genau diese Einfachheit macht es anfällig. Die Hauptangriffsvektoren sind SIM-Swapping (Kriminelle übertragen deine Mobilfunknummer auf eine eigene SIM-Karte), das Abfangen von SMS durch Malware auf dem Smartphone und Schwachstellen im SS7-Protokoll, das für die Weiterleitung von SMS zuständig ist. Das BSI warnt explizit vor der Möglichkeit, SMS abzufangen. SMS-TAN erfüllt zwar formal die PSD2-Anforderungen, gilt aber als die schwächste Umsetzung der starken Kundenauthentifizierung. Kein separates Gerät, keine App, keine Einrichtung – das macht es zum Verfahren mit der niedrigsten Einstiegshürde, aber auch dem höchsten Risiko.

ChipTAN / SmartTAN ist ein weiteres Hardware-basiertes Verfahren, das vor allem bei Sparkassen und Volksbanken verbreitet ist. Hier wird eine Bankkarte in ein Lesegerät eingesteckt, das einen Flickercode auf dem Bildschirm liest und eine TAN generiert. Die Sicherheit ist ähnlich hoch wie bei photoTAN mit Lesegerät – das Gerät ist offline, nicht infizierbar, und die Transaktionsdaten werden zur Kontrolle angezeigt.

Kartenbasierte 2FA bei Kreditkartenanbietern: Kreditkartenanbieter setzen auf andere Verfahren. Statt photoTAN kommt hier typischerweise 3D-Secure zum Einsatz – ein Standard, der Online-Kartenzahlungen absichert. Die Authentifizierung erfolgt per Einmalpasswort (OTP) via SMS oder E-Mail, per Push-Benachrichtigung in der App oder biometrisch. Technologisch basieren moderne biometrische Implementierungen auf FIDO-Standards und Public-Key-Kryptographie – einem Ansatz, der als besonders phishing-resistent gilt, weil der kryptografische Schlüssel niemals das Gerät verlässt.

Die Wahl des richtigen Verfahrens hängt von deinen Prioritäten ab. Maximale Sicherheit? photoTAN mit externem Lesegerät oder ChipTAN. Gute Sicherheit mit hohem Komfort? photoTAN oder pushTAN mit konsequentem Zwei-Geräte-Betrieb. Maximaler Komfort ohne großes Sicherheitsbewusstsein? SMS-TAN – aber mit dem Wissen, dass du das schwächste Glied in der Kette nutzt.