Autor:
Themen in diesem Artikel:
- Was sind TAN-Verfahren: Definition und rechtliche Grundlagen der sicheren Online-Banking Authentifizierung
- Übersicht der TAN-Verfahren: Detaillierte Vorstellung von mTAN, pushTAN, chipTAN und photoTAN-Methoden
- Sicherheitsvergleich: Bewertung der Sicherheitsniveaus und typische Bedrohungsszenarien
- Auswahl des passenden Verfahrens: Entscheidungshilfe basierend auf individuellen Anforderungen und Komfort
- Praktische Tipps zur TAN-Sicherheit: Best Practices und Schutz vor Phishing-Versuchen
Was sind TAN-Verfahren?
TAN-Verfahren sind unverzichtbare Sicherheitsmechanismen im modernen Online-Banking und schützen deine Transaktionen vor unbefugten Zugriffen. Diese Transaktionsnummern dienen als digitale Unterschrift für jede Überweisung und stellen sicher, dass nur du als rechtmäßiger Kontoinhaber Geld bewegen kannst. Mit der Einführung der europäischen Zahlungsdienstrichtlinie PSD2 wurden die Sicherheitsanforderungen deutlich verschärft, wodurch moderne Zwei-Faktor-Authentifizierung zur Pflicht wurde.
TAN-Verfahren bilden das Herzstück der Online-Banking Sicherheit und funktionieren nach dem Prinzip der starken Kundenauthentifizierung. Diese Systeme kombinieren mehrere Sicherheitsfaktoren miteinander, um eine zuverlässige Identitätsprüfung zu gewährleisten.
Definition und Funktionsweise
Eine Transaktionsnummer ist ein einmaliges, nur kurze Zeit gültiges Passwort, das ausschließlich für eine spezifische Banktransaktion verwendet wird. Das Verfahren basiert auf dem Prinzip „etwas, was du weißt“ kombiniert mit „etwas, was du besitzt“. Du kennst deine Login-Daten für das Online-Banking und besitzt zusätzlich ein zweites Gerät oder Medium, über das die TAN generiert wird.
Die Zwei-Faktor-Authentifizierung im Banking bedeutet konkret, dass neben deinen normalen Zugangsdaten ein zusätzlicher Sicherheitscode erforderlich ist. Dieser wird erst bei der tatsächlichen Transaktion angefordert und kann nur einmalig verwendet werden. Dadurch wird verhindert, dass Kriminelle mit gestohlenen Zugangsdaten Überweisungen durchführen können, da ihnen der zweite Faktor fehlt.
Der Schutz vor unbefugten Überweisungen funktioniert durch die zeitliche und transaktionsbezogene Begrenzung jeder TAN. Selbst wenn Betrüger eine TAN abfangen, ist diese nach wenigen Minuten ungültig und kann nicht für andere Transaktionen missbraucht werden.
Rechtliche Grundlagen und PSD2
Die europäische Zahlungsdienstrichtlinie PSD2 hat seit 2019 die Sicherheitsstandards im Online-Banking revolutioniert. Diese Richtlinie verpflichtet alle Banken zur Implementierung einer starken Kundenauthentifizierung (SCA – Strong Customer Authentication) für elektronische Zahlungen über 30 Euro.
Die SCA-Anforderungen definieren drei Authentifizierungsfaktoren: Wissen (PIN, Passwort), Besitz (Smartphone, TAN-Generator) und Inhärenz (Biometrie). Mindestens zwei dieser Faktoren müssen bei jeder relevanten Transaktion kombiniert werden. Zusätzlich müssen die Faktoren voneinander unabhängig sein, sodass die Kompromittierung eines Faktors die anderen nicht gefährdet.
📌 Good to know
Banken müssen seit der PSD2-Umsetzung bei Transaktionen über 30 Euro oder bei verdächtigen Aktivitäten zwingend eine starke Kundenauthentifizierung durchführen. Ausnahmen gelten nur für Kleinbeträge unter 30 Euro oder vertrauenswürdige Empfänger.
Übersicht der gängigen TAN-Verfahren
Die Bandbreite moderner TAN-Verfahren reicht von SMS-basierten Lösungen bis hin zu hochsicheren Hardware-Generatoren. Jedes Verfahren hat spezifische Vor- und Nachteile, die du bei der Auswahl berücksichtigen solltest.
mTAN (mobileTAN) per SMS
Das mTAN-Verfahren sendet die Transaktionsnummer per SMS direkt an dein registriertes Mobiltelefon. Nach der Eingabe deiner Überweisungsdaten erhältst du binnen weniger Sekunden eine SMS mit einer sechsstelligen TAN, die nur für diese spezifische Transaktion gültig ist.
Die Vorteile dieses Verfahrens liegen in der einfachen Handhabung und der breiten Verfügbarkeit. Du benötigst lediglich ein Mobiltelefon mit SMS-Empfang und musst keine zusätzliche Software installieren. Das Verfahren funktioniert auch im Ausland, solange du Mobilfunkempfang hast.
Allerdings bringt mTAN auch erhebliche Sicherheitsrisiken mit sich. SIM-Swapping stellt eine wachsende Bedrohung dar, bei der Kriminelle deine Telefonnummer auf eine neue SIM-Karte umleiten. SMS-Nachrichten können abgefangen werden, und das Mobilfunknetz bietet nicht die gleiche Verschlüsselungsstärke wie moderne App-basierte Lösungen.
pushTAN und App-basierte Verfahren
pushTAN-Verfahren nutzen die offizielle Banking-App deiner Bank zur TAN-Generierung. Wenn du eine Überweisung im Online-Banking eingibst, erhältst du eine Push-Benachrichtigung auf dein Smartphone. In der App werden dir die Transaktionsdetails angezeigt, die du bestätigen oder ablehnen kannst.
Die Sicherheitsvorteile sind beträchtlich: Die Kommunikation erfolgt über verschlüsselte Kanäle, und die App kann biometrische Authentifizierung wie Fingerabdruck oder Gesichtserkennung nutzen. Push-Benachrichtigungen funktionieren in Echtzeit und zeigen dir exakt die Details der zu bestätigenden Transaktion an.
App-basierte Verfahren bieten zusätzlich den Komfort der Integration in das mobile Banking. Du kannst Überweisungen direkt in der App durchführen und bestätigen, ohne zwischen verschiedenen Kanälen wechseln zu müssen. Die SEPA-Zahlungsverfahren werden vollständig unterstützt.
chipTAN und TAN-Generatoren
Hardware-basierte chipTAN-Verfahren verwenden spezielle TAN-Generatoren, die völlig unabhängig von Mobilfunknetzen oder Internet funktionieren. Diese kleinen Geräte generieren TANs durch das Einlesen von Daten aus dem Online-Banking-System oder deiner Bankkarte.
Es gibt verschiedene Generator-Typen: Optische Generatoren lesen Flickercodes vom Bildschirm ab, USB-Generatoren werden direkt an den Computer angeschlossen, und moderne Bluetooth-Varianten kommunizieren drahtlos mit der Banking-Software. Alle Varianten erzeugen TANs lokal auf dem Gerät, ohne dass sensible Daten über externe Netzwerke übertragen werden.
Die Offline-Funktionalität ist ein entscheidender Vorteil: Du bist nicht auf Mobilfunkempfang oder Internetverbindung angewiesen und kannst auch bei Netzwerkproblemen Transaktionen durchführen. Hardware-Generatoren gelten als besonders sicher gegen Malware-Angriffe, da sie ein geschlossenes System bilden.
💡 Tip
Bewahre deinen TAN-Generator immer getrennt von deiner Bankkarte auf. Falls beide Komponenten gleichzeitig gestohlen werden, könnten Unbefugte theoretisch Transaktionen durchführen, wenn sie auch deine PIN kennen.
photoTAN-Verfahren
Das photoTAN-Verfahren kombiniert QR-Code-Technologie mit App-basierter Authentifizierung. Wenn du eine Überweisung eingibst, generiert das Online-Banking-System einen speziellen QR-Code, der alle Transaktionsdaten verschlüsselt enthält. Mit der Banking-App fotografierst du diesen Code ab, wodurch automatisch eine TAN generiert wird.
Die Besonderheit liegt in der Datenintegration: Der QR-Code enthält nicht nur eine zufällige TAN, sondern auch die exakten Überweisungsdetails wie Empfänger, Betrag und Verwendungszweck. Dadurch erkennt die App sofort, wenn Transaktionsdaten manipuliert wurden, und verweigert die TAN-Generierung.
App-gestützte Authentifizierung ermöglicht zusätzliche Sicherheitsfeatures wie biometrische Freigabe oder PIN-Schutz der App selbst. Das Verfahren funktioniert auch offline, da die TAN-Generierung lokal in der App erfolgt und keine Internetverbindung des Smartphones erfordert.
Sicherheitsvergleich der TAN-Verfahren
Die Sicherheitsniveaus verschiedener TAN-Methoden unterscheiden sich erheblich in ihrer Resistenz gegen moderne Angriffsmethoden. Eine realistische Bewertung hilft dir bei der Auswahl des optimalen Verfahrens für deine Bedürfnisse.
Sicherheitsstufen im Vergleich
Bei der Bewertung nach Phishing-Resistenz führen Hardware-basierte Verfahren wie chipTAN das Ranking an. Da die TAN-Generierung vollständig offline erfolgt, können Betrüger keine gefälschten Banking-Seiten nutzen, um TANs abzufangen. App-basierte Verfahren wie pushTAN folgen mit hoher Sicherheit, da sie die Transaktionsdetails in der vertrauenswürdigen Banking-App anzeigen.
Man-in-the-Middle-Angriffe zielen darauf ab, sich zwischen dich und deine Bank zu schalten, um Transaktionsdaten zu manipulieren. chipTAN und photoTAN bieten hier den besten Schutz, da sie die Transaktionsdetails in die TAN-Generierung einbeziehen. Manipulierte Überweisungsdaten führen automatisch zu einer anderen TAN, wodurch der Angriff scheitert.
Banking-Trojaner und Malware-Risiken betreffen hauptsächlich SMS-basierte Verfahren. Schädliche Software kann SMS-Nachrichten abfangen oder umleiten, während moderne App-basierte Lösungen durch Verschlüsselung und App-Sandboxing deutlich besser geschützt sind. Hardware-Generatoren bleiben völlig unberührt von Computerviren.
Veraltete Verfahren: iTAN und TAN-Listen
Klassische iTAN-Listen mit nummerierten Transaktionsnummern wurden aus gutem Grund abgeschafft. Diese Papier- oder Kartenbasierten Listen mit vorgedruckten TANs boten keinen Schutz gegen Phishing-Angriffe, da jede TAN für beliebige Transaktionen verwendbar war.
Die Sicherheitsmängel klassischer TAN-Listen waren gravierend: Verlust oder Diebstahl der Liste gefährdete sofort alle darauf befindlichen TANs. Betrüger konnten mit gefälschten Banking-Seiten problemlos beliebige TANs abfragen und diese später für unbefugte Überweisungen nutzen. Zudem fehlte jede Verbindung zwischen TAN und spezifischer Transaktion.
Die Migration zu modernen Verfahren war nicht nur regulatorisch notwendig, sondern auch technisch überfällig. Banken haben ihre Kunden systematisch von iTAN-Listen auf PSD2-konforme Verfahren umgestellt und dabei meist mehrere alternative Methoden angeboten, um unterschiedlichen Bedürfnissen gerecht zu werden.
Auswahl des passenden TAN-Verfahren
Die Wahl der optimalen TAN-Methode hängt von verschiedenen persönlichen und technischen Faktoren ab. Eine durchdachte Entscheidung berücksichtigt sowohl Sicherheitsaspekte als auch praktische Alltagstauglichkeit.
Kriterien für die Verfahrenswahl
Die technischen Voraussetzungen bilden die Grundlage deiner Entscheidung. Für App-basierte Verfahren benötigst du ein aktuelles Smartphone mit der Banking-App deiner Bank. chipTAN erfordert die Anschaffung eines Hardware-Generators, während mTAN nur ein SMS-fähiges Mobiltelefon voraussetzt.
Deine Nutzungshäufigkeit und Komfortansprüche spielen eine wesentliche Rolle. Wenn du täglich Banking-Transaktionen durchführst, bieten App-basierte Lösungen die beste Balance zwischen Sicherheit und Benutzerfreundlichkeit. Gelegenheitsnutzer kommen oft gut mit Hardware-Generatoren zurecht, auch wenn diese etwas umständlicher zu handhaben sind.
Das persönliche Sicherheitsbedürfnis sollte maßgeblich deine Wahl beeinflussen. Geschäftskunden oder Personen mit hohen Transaktionsvolumen profitieren von der maximalen Sicherheit eines chipTAN-Generators. Privatnutzer mit moderaten Beträgen können durchaus mit gut implementierten App-Lösungen arbeiten.
Kombination mehrerer Verfahren
Die meisten Banken ermöglichen die Registrierung mehrerer TAN-Verfahren gleichzeitig, was erhebliche Vorteile bietet. Backup-Verfahren für Notfälle stellen sicher, dass du auch bei Geräteverlust oder technischen Problemen handlungsfähig bleibst.
Verschiedene TANs für unterschiedliche Zwecke können sinnvoll sein: Du könntest pushTAN für alltägliche Überweisungen nutzen und chipTAN für besonders kritische oder hohe Transaktionen reservieren. Manche Banken bieten sogar betragsabhängige automatische Verfahrenswahl an.
Die Flexibilität durch Mehrfachregistrierung zeigt sich besonders auf Reisen oder bei Gerätetechnik-Problemen. Mit einer Kombination aus App-basiertem Hauptverfahren und Hardware-Generator als Backup bist du in praktisch allen Situationen abgesichert.
Praktische Tipps zur TAN-Sicherheit
Die sicherste TAN-Technologie nützt wenig, wenn sie unsachgemäß verwendet wird. Bewährte Sicherheitspraktiken und Wachsamkeit gegenüber Betrugsversuchen sind entscheidend für den effektiven Schutz deiner Bankgeschäfte.
Wichtige Sicherheitsregeln
Die wichtigste Grundregel lautet: TAN niemals weitergeben oder speichern. Jede TAN ist ausschließlich für eine spezifische Transaktion bestimmt und verliert nach der Verwendung oder nach wenigen Minuten automatisch ihre Gültigkeit. Mitarbeiter deiner Bank werden niemals nach TANs fragen, da sie keinen Zugriff auf diese haben.
Prüfe die Transaktionsdaten vor jeder Bestätigung sorgfältig. Vergleiche Empfänger, Betrag und Verwendungszweck genau mit deiner beabsichtigten Überweisung. Bei Abweichungen brich den Vorgang sofort ab und kontaktiere deine Bank. Moderne TAN-Verfahren wie photoTAN oder chipTAN zeigen dir diese Daten zur Kontrolle an.
Gerätesicherheit und Aktualität sind essentiell für App-basierte Verfahren. Halte dein Smartphone und die Banking-App stets auf dem neuesten Stand, nutze Bildschirmsperren und installiere nur Apps aus offiziellen Stores. Bei Girokonto-Sicherheit solltest du keine Kompromisse eingehen.
Erkennung von Phishing-Versuchen
Typische Betrugsmaschen beim Online-Banking nutzen gefälschte E-Mails, SMS oder Anrufe, um TANs zu ergattern. Betrüger geben sich als Bankmitarbeiter aus und behaupten, dein Konto sei gefährdet oder du müsstest deine Zugangsdaten „aktualisieren“. Echte Banken fordern niemals per E-Mail oder Telefon zur TAN-Eingabe auf.
Warnsignale bei verdächtigen Anfragen umfassen Zeitdruck („sofort handeln“), Drohungen („Konto wird gesperrt“) oder die Aufforderung zur TAN-Eingabe auf fremden Websites. Seriöse Banking-Kommunikation erfolgt über die offiziellen Kanäle deiner Bank und nie mit der Bitte um Preisgabe von Sicherheitsdaten.
💡 Tip
Rufe bei verdächtigen Kontaktversuchen immer die offizielle Telefonnummer deiner Bank an, die du auf deinen Kontoauszügen oder der Bank-Website findest. Nutze niemals Telefonnummern aus verdächtigen E-Mails oder SMS-Nachrichten.
Das richtige Verhalten bei Sicherheitsvorfällen kann finanzielle Schäden verhindern. Wenn du versehentlich eine TAN preisgegeben hast oder verdächtige Aktivitäten auf deinem Konto bemerkst, sperre sofort deine Online-Banking-Zugänge über die Bank-Hotline. Dokumentiere den Vorfall und erstatte bei Bedarf Anzeige bei der Polizei.
Häufig gestellte Fragen
Welches TAN-Verfahren ist am sichersten?
chipTAN-Hardware-Generatoren gelten als sicherste TAN-Verfahren, da sie offline funktionieren und Transaktionsdaten in die TAN-Generierung einbeziehen.
Wie lange ist eine TAN gültig?
TANs sind meist 3-10 Minuten gültig und können nur einmalig für die spezifische Transaktion verwendet werden.
Kann ich mehrere TAN-Verfahren gleichzeitig nutzen?
Ja, die meisten Banken ermöglichen die gleichzeitige Registrierung mehrerer TAN-Verfahren als Backup-Lösung für verschiedene Situationen.
Was passiert bei Verlust des TAN-Generators?
Kontaktiere sofort deine Bank zur Sperrung des Geräts und Bestellung eines neuen Generators. Backup-Verfahren bleiben weiterhin nutzbar.
Sind mTAN per SMS noch sicher?
mTAN ist weniger sicher als moderne Verfahren, da SMS abgefangen werden können und SIM-Swapping-Angriffe möglich sind.
Was kostet ein TAN-Generator?
TAN-Generatoren kosten beim Kauf etwa 30-100 Euro. Viele Banken stellen die Geräte jedoch kostenlos zur Verfügung oder berechnen eine geringe monatliche Gebühr von etwa 2,50 Euro.
