Online-Banking ohne TAN-Generator: Alle sicheren Alternativen 2026

Warum der klassische TAN-Generator ausgedient hat

Online-Banking ohne TAN-Generator ist heute die Regel, nicht die Ausnahme. Seit dem 14. September 2019 schreibt die Zweite Zahlungsdienste-Richtlinie (PSD2) europaweit eine Starke Kundenauthentifizierung (SCA) vor. Das bedeutet: iTAN-Listen auf Papier sind seitdem schlicht verboten. Wer noch eine solche Liste in der Schublade hat, kann sie wegwerfen – die Bank akzeptiert sie nicht mehr.

Was steckt hinter SCA? Du musst dich bei jeder Transaktion mit mindestens zwei voneinander unabhängigen Faktoren aus drei Kategorien ausweisen:

• Wissen: PIN oder Passwort
• Besitz: Smartphone mit App, TAN-Generator oder Girocard
• Inhärenz: Fingerabdruck oder Gesichtserkennung

Entscheidend ist das Wort „dynamisch“: Jede Transaktion braucht eine neue, einmalig gültige TAN. Statische Listen, die immer dieselben Codes liefern, erfüllen diese Anforderung nicht. Das ist der Kern des Problems mit der alten iTAN.

Gleichzeitig wächst der Bedarf an bequemen Lösungen rasant. Rund 81 % der Bundesbürger erledigen ihre Bankgeschäfte heute online. Das sind Millionen von Menschen, die täglich überweisen, Daueraufträge einrichten oder Kontoauszüge abrufen. Ein physisches Gerät, das man immer dabei haben muss, passt nicht mehr in diesen Alltag.

Die Kehrseite: Betrug nimmt zu. Meldungen über Konto- und Kartenmissbrauch sind seit 2021 stark gestiegen und verharren auf hohem Niveau. Rund 15 % der Befragten wurden bereits Opfer von Zahlungsverkehrsbetrug. Von diesen Opfern trug ein erschreckend hoher Anteil von 34 % den Schaden vollständig selbst – ohne Erstattung durch die Bank.

Das zeigt: Die Wahl des TAN-Verfahrens ist keine Nebensache. Sie entscheidet darüber, wie gut du im Schadensfall geschützt bist. Wer ein veraltetes oder unsicheres Verfahren nutzt, riskiert nicht nur den Datenverlust, sondern auch den finanziellen Schaden.

Welche Verfahren sind heute noch zulässig? Im Wesentlichen vier: Push-TAN, PhotoTAN, SMS-TAN und ChipTAN. Die ersten drei kommen ohne physischen TAN-Generator aus. ChipTAN erfordert weiterhin ein Gerät plus Girocard, bietet dafür aber eine der höchsten Sicherheitsstufen überhaupt. Die folgenden Abschnitte erklären jedes Verfahren im Detail.

Push-TAN: Die bequemste Alternative für Smartphone-Nutzer

Push-TAN ist heute das am weitesten verbreitete TAN-Verfahren in Deutschland – und das aus gutem Grund. Du brauchst kein zusätzliches Gerät, keine Girocard und keinen Generator. Alles läuft über eine kostenlose App auf deinem Smartphone oder Tablet.

So funktioniert es: Du gibst deine Überweisungsdaten im Online-Banking ein – entweder im Browser auf dem PC oder in der Banking-App. Sofort erscheint eine Push-Benachrichtigung in der TAN-App. Du öffnest sie, siehst die Transaktionsdetails (Betrag, Empfänger, IBAN) und gibst die Transaktion per Passwort, Fingerabdruck oder Gesichtserkennung frei. Die TAN wird generiert, automatisch übermittelt und die Überweisung ausgeführt.

Wichtig: Die TAN-App ist unabhängig vom SS7-Mobilfunkprotokoll. Sie kommuniziert über verschlüsselte App-Kanäle, die deutlich schwerer anzugreifen sind als das klassische SMS-Netz. Das ist einer der größten Sicherheitsvorteile gegenüber der SMS-TAN.

Welche Banken bieten Push-TAN an? Praktisch alle großen Direktbanken: Die Sparkassen-Gruppe mit der S-PushTAN-App (vom TÜV Saarland auf Sicherheit geprüft), die ING, DKB und Comdirect – alle kostenlos. Für die Banken ist Push-TAN das günstigste Verfahren, weil keine SMS-Kosten und keine Hardware anfallen. Das erklärt die weite Verbreitung.

Die Zwei-Geräte-Strategie ist das, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Verbraucherzentralen ausdrücklich empfehlen: Du nutzt den PC für das Online-Banking und dein Smartphone für die TAN-App. Ein Angreifer müsste dann gleichzeitig beide Geräte kompromittieren – das ist erheblich schwieriger als der Angriff auf ein einzelnes Gerät.

Was sind die Schwachstellen? Push-TAN ist anfällig für mobile Malware, wenn das Betriebssystem nicht aktuell gehalten wird. Ein veraltetes Android oder iOS öffnet Angreifern Türen. Regelmäßige Updates sind deshalb keine Option, sondern Pflicht. Wer sein Smartphone seit Monaten nicht aktualisiert hat, sollte das sofort nachholen – unabhängig vom genutzten TAN-Verfahren.

Betrugsquoten nach Verfahren zeigen: Push-TAN liegt bei rund 0,05 % aller Transaktionen – ein sehr niedriger Wert, der die grundsätzliche Sicherheit des Verfahrens belegt. Zum Vergleich: SMS-TAN kommt auf etwa 0,1 %, also doppelt so viele Missbrauchsfälle. Alle Werte bewegen sich im Promillebereich, aber die Unterschiede zwischen den Verfahren sind real und messbar.

Fazit: Push-TAN ist die richtige Wahl für alle, die Komfort und solide Sicherheit kombinieren wollen. Wer maximale Sicherheit sucht, schaut sich PhotoTAN oder ChipTAN an.

PhotoTAN: Maximale Sicherheit durch grafische Verschlüsselung

PhotoTAN klingt komplizierter als es ist. Das Prinzip: Auf deinem PC-Bildschirm erscheint eine farbige Grafik – ein QR-Code oder ein Mosaik aus bunten Punkten. Du hältst dein Smartphone mit der PhotoTAN-App davor, die Kamera scannt die Grafik, und die App entschlüsselt die darin enthaltenen Transaktionsdaten. Das Ergebnis: eine TAN, die du eingibst oder die automatisch übermittelt wird.

Was macht das sicherer als Push-TAN? Die Grafik enthält die verschlüsselten Transaktionsdaten direkt – Betrag, Empfänger-IBAN, Datum. Die App entschlüsselt sie und zeigt sie dir zur Kontrolle an, bevor du freigibst. Das ist eine zusätzliche Sicherheitsschicht: Selbst wenn ein Angreifer deine Bankverbindung manipuliert hat, siehst du in der App die echten Zieldaten und kannst die Transaktion abbrechen.

Das BSI stuft PhotoTAN als sehr hoch in der Sicherheitsbewertung ein. Betrugsquoten liegen bei unter 0,01 % – dem niedrigsten Wert aller gängigen Verfahren. Das ist kein Zufall: Die grafische Verschlüsselung ist schwerer zu fälschen als eine einfache Push-Benachrichtigung.

Wer bietet PhotoTAN an? Die Commerzbank setzt konsequent auf dieses Verfahren. Die App ist kostenlos, ein separates Lesegerät kann optional erworben werden – und hier liegt ein besonderer Sicherheitsvorteil: Ein dedizierter PhotoTAN-Generator ohne Internetverbindung kann überhaupt nicht online angegriffen werden. Kein Trojaner, kein Remote-Zugriff. Das Gerät ist physisch isoliert.

Der Nachteil gegenüber Push-TAN ist der etwas höhere Aufwand. Du brauchst eine Kamera, musst die Grafik korrekt scannen und gelegentlich die Ausrichtung korrigieren. Bei schlechter Beleuchtung oder einem kleinen Bildschirm kann das nervig werden. Push-TAN ist in der Handhabung schlicht bequemer.

Beide Verfahren – Push-TAN und PhotoTAN – erfüllen die PSD2-Anforderungen vollständig. Beide sind anfällig für mobile Trojaner bei veraltetem Betriebssystem. Und bei beiden empfiehlt sich die Zwei-Geräte-Strategie: PC für das Banking, Smartphone für die TAN-App.

PhotoTAN eignet sich besonders für Menschen, die höchste Sicherheit priorisieren und bereit sind, dafür etwas mehr Aufwand in Kauf zu nehmen. Wer täglich viele Transaktionen durchführt und Komfort schätzt, ist mit Push-TAN besser bedient. Beide Verfahren sind deutlich sicherer als SMS-TAN – dazu gleich mehr.

SMS-TAN: Warum dieses Verfahren ausläuft

SMS-TAN war lange der Standard. Kein App-Download, keine Einrichtung – einfach Mobilfunknummer bei der Bank hinterlegen, und die TAN kommt per SMS. Das klingt praktisch. Das Problem: Es ist auch gefährlich.

Das BSI warnt ausdrücklich vor SMS-TAN. Der Grund liegt im Fundament des Verfahrens: SMS nutzen das SS7-Protokoll, ein Mobilfunkstandard aus den 1970er Jahren, der nie für moderne Sicherheitsanforderungen ausgelegt wurde. Angreifer, die Zugang zu SS7-Infrastruktur haben, können SMS abfangen – ohne dass du es merkst. Das ist kein theoretisches Risiko, sondern ein nachgewiesener Angriffsweg.

Dazu kommt SIM-Swapping: Kriminelle bringen Mobilfunkanbieter dazu, deine Rufnummer auf eine neue SIM-Karte zu übertragen – oft mit gefälschten Dokumenten oder durch Social Engineering. Danach landen alle SMS, einschließlich deiner TANs, beim Angreifer. Kombiniert mit gestohlenen Banking-Zugangsdaten aus Phishing-Mails ist das ein vollständiges Angriffsszenario.

Phishing-Angriffe auf SMS-TAN-Nutzer sind 2023 gegenüber dem Vorjahr um rund 15 % gestiegen. Die Zahlen zeigen: Kriminelle wissen, dass dieses Verfahren angreifbar ist – und nutzen das systematisch aus.

Die Konsequenz: Immer mehr Banken stellen SMS-TAN ein. Postbank, Berliner Sparkasse und Consorsbank gehören zu den Instituten, die das Verfahren bereits abgeschafft haben oder die Umstellung planen. Wer noch SMS-TAN nutzt, sollte nicht warten, bis die Bank die Entscheidung trifft – sondern jetzt aktiv auf Push-TAN oder PhotoTAN wechseln.

Ein weiterer Nachteil: Manche Banken erheben Gebühren pro SMS-TAN von rund 0,10 Euro. Bei häufigen Transaktionen summiert sich das. Push-TAN ist dagegen kostenlos.

Warum ist Push-TAN überlegen? Drei Gründe:

1. Push-TAN läuft über verschlüsselte App-Kommunikation, nicht über SS7.
2. Die App zeigt Transaktionsdetails vor der Freigabe an – bei SMS fehlt diese Prüfmöglichkeit oft.
3. Die App ist durch PIN oder Biometrie geschützt; eine SMS kann jeder lesen, der das Gerät in der Hand hat.

Wenn du noch SMS-TAN nutzt: Wechsel jetzt. Die meisten Banken bieten den Umstieg kostenlos und unkompliziert an. Es dauert meist nur wenige Minuten, die neue TAN-App einzurichten.

Alle TAN-Verfahren im direkten Vergleich

Jetzt wird es konkret. Die folgende Tabelle zeigt alle vier gängigen Verfahren nebeneinander – mit den Faktoren, die für deine Entscheidung wirklich relevant sind.

Was sagen die Zahlen? Alle Verfahren bewegen sich im Missbrauch im Promillebereich bezogen auf die Gesamtzahl der Transaktionen. Aber die Unterschiede sind signifikant: SMS-TAN hat doppelt so viele Betrugsquoten wie Push-TAN. PhotoTAN liegt fünfmal besser als Push-TAN.

Besonders wichtig: die Kleinbetragsausnahme der PSD2. Du kannst bis zu fünf Transaktionen à maximal 30 Euro ohne TAN durchführen – solange der kumulierte Betrag 100 Euro nicht übersteigt. Danach ist eine Authentifizierung Pflicht. Das ist praktisch für kleine Alltagskäufe, aber kein Ersatz für ein vollständiges TAN-Verfahren.

Die klare Empfehlung: Push-TAN für alle, die Komfort und gute Sicherheit wollen. PhotoTAN oder ChipTAN für alle, die maximale Sicherheit priorisieren. SMS-TAN meiden – und wenn noch aktiv, sofort wechseln.

Kreditkarten-Authentifizierung: Sicher ohne physisches Gerät

Wer mit einer Kreditkarte online einkauft, kennt das Prinzip: Beim Bezahlen erscheint ein zusätzlicher Authentifizierungsschritt. Das ist kein Zufall, sondern PSD2-Pflicht. Auch Kreditkartenanbieter müssen seit 2019 eine Starke Kundenauthentifizierung implementieren – und das ganz ohne physischen TAN-Generator.

Das gängige Verfahren nennt sich SafeKey und ist die Kreditkarten-Variante der 2FA. Es basiert auf dem internationalen 3-D-Secure-Standard und erfüllt alle PSD2-Anforderungen. Kein Gerät, kein Generator, keine Girocard – nur dein Smartphone und deine Karte.

Welche Methoden stehen zur Verfügung?

• Bestätigungscode per SMS: An deine registrierte Mobilfunknummer wird ein Einmalcode gesendet. Einfach, aber mit denselben SS7-Schwachstellen wie SMS-TAN beim Girokonto.
• Push-Benachrichtigung über die Kreditkarten-App: Du bekommst eine Benachrichtigung in der App und bestätigst per Fingerabdruck, Gesichtserkennung oder Passwort. Das ist die sicherere und komfortablere Option.
• Teilweise PIN-Eingabe: Bei bestimmten Authentifizierungen reicht die Eingabe einzelner Stellen deiner PIN als zusätzlicher Faktor.

Ein praktisches Feature ist die sogenannte Express List: Häufig genutzte Online-Shops kannst du hinterlegen, um die Häufigkeit von Verifizierungsabfragen zu reduzieren. Das klingt nach weniger Sicherheit – ist es aber nicht. Der Schutz bleibt aktiv, nur der Aufwand für dich sinkt bei bekannten, vertrauenswürdigen Händlern.

Der Vergleich zu Girokonten zeigt einen interessanten Unterschied: Kreditkarten-Authentifizierung ist oft nahtloser in den Checkout-Prozess integriert. Du verlässt die Händlerseite nicht, öffnest keine separate App manuell – die Bestätigung läuft im Hintergrund oder in einem kleinen Pop-up-Fenster. Das verbessert die Nutzererfahrung erheblich, ohne die Sicherheit zu kompromittieren.

Wichtig für die Sicherheit: Halte die Kreditkarten-App stets aktuell. Aktiviere Biometrie, wenn dein Gerät es unterstützt. Und überprüfe regelmäßig deine Transaktionen in der App – verdächtige Buchungen solltest du sofort melden. Bei Kreditkarten gilt in der Regel eine Haftungsbegrenzung: Wenn du den Betrug unverzüglich meldest, haftest du meist nur bis zu einem festgelegten Betrag oder gar nicht.

Das Prinzip gilt branchenübergreifend: Kreditkartenanbieter setzen konsequent auf App-basierte 2FA statt physischer Geräte. Das ist moderner, günstiger und für die meisten Nutzer sicherer als ein Gerät, das man verlieren oder vergessen kann.

BSI-Sicherheitstipps für Online-Banking ohne TAN-Generator

Das sicherste TAN-Verfahren nützt wenig, wenn du grundlegende Sicherheitsregeln ignorierst. Das BSI und Verbraucherzentralen haben klare Empfehlungen – hier sind die wichtigsten, konkret und ohne Floskeln.

1. Zwei-Geräte-Strategie umsetzen. Nutze den PC für das Online-Banking und dein Smartphone für die TAN-App. Das ist die effektivste Einzelmaßnahme gegen die meisten Angriffe. Ein Angreifer müsste beide Geräte gleichzeitig kontrollieren – das ist exponentiell schwieriger als ein einzelnes Gerät zu kompromittieren.

2. Betriebssystem und Apps aktuell halten. Die meisten erfolgreichen Angriffe auf Push-TAN und PhotoTAN nutzen Schwachstellen in veralteten Betriebssystemen. Automatische Updates aktivieren – für iOS, Android und den Browser auf dem PC.

3. Transaktionsdaten vor der Freigabe prüfen. Bevor du in der TAN-App auf „Bestätigen“ tippst, lies Betrag und Empfänger-IBAN genau durch. Stimmt etwas nicht, brich ab und kontaktiere deine Bank. Dieser Schritt kostet drei Sekunden und kann Hunderte Euro retten.

4. Kein Online-Banking in öffentlichen WLANs. Öffentliche Netzwerke in Cafés, Bahnhöfen oder Hotels sind leicht abzuhören. Wenn du unterwegs bankst, nutze das Mobilfunknetz deines Smartphones oder ein VPN.

5. Starke, einzigartige Passwörter. Nutze für Banking-App und TAN-App unterschiedliche Passwörter. Ein Passwort-Manager hilft, den Überblick zu behalten. Passwörter niemals aufschreiben oder per E-Mail versenden.

6. HTTPS prüfen. Bevor du Zugangsdaten eingibst, prüfe die URL im Browser. Das Schloss-Symbol und „https://“ müssen vorhanden sein. Phishing-Seiten imitieren oft echte Banking-Seiten täuschend echt – ein genauer Blick auf die URL hilft.

7. Kontoauszüge regelmäßig prüfen. Schau mindestens einmal pro Woche in deine Transaktionen. Unbekannte Buchungen sofort der Bank melden. Je schneller du reagierst, desto besser stehen deine Chancen auf Erstattung.

8. Bei Diebstahl sofort handeln. Wird dein Smartphone mit der TAN-App gestohlen, informiere sofort die Bank, damit die App-Verknüpfung gesperrt wird. Zusätzlich die SIM-Karte beim Mobilfunkanbieter sperren lassen. Beides geht rund um die Uhr über die Sperr-Hotlines.

9. Vorsicht bei Phishing. Banken fragen niemals per E-Mail oder SMS nach deinen Zugangsdaten oder TANs. Solche Nachrichten immer ignorieren und löschen. Im Zweifel direkt bei der Bank anrufen – über die offizielle Nummer auf der Webseite, nicht über eine Nummer in der verdächtigen Nachricht.

Diese neun Maßnahmen kosten kaum Zeit, reduzieren dein Risiko aber drastisch. Wer sie konsequent umsetzt, ist auch ohne physischen TAN-Generator sehr gut geschützt.