Onlinebanking TAN-Verfahren: Welche Lösungen es gibt und wie sicher sie sind

Symbolbild TAN-Verfahren: Junger Vater bringt kleinem Jungen das Fahrradfahren bei
© jacoblund via Getty Images/iStockphoto

Fast zwei Drittel der Bundesbürger nutzen inzwischen Onlinebanking. Das ist einfach, praktisch und bequem, erfordert aber auch besondere Sicherheitsvorkehrungen. Es gab und gibt immer wieder kriminelle Versuche, an Kundendaten zu kommen oder Transaktionen zu manipulieren. Um dies zu verhindern, sind TAN-Verfahren im Einsatz. Was die TAN bedeutet, wie es mit dem sicheren Einsatz steht und was die Zukunft in puncto Sicherheit bringt – darum geht es in diesem Beitrag.

Was ist eine TAN und wo muss man die TAN eingeben?

Das Kürzel „TAN“ steht für „TransAktionsNummer“ – eine Ziffernfolge, die nur einmal zur Durchführung einer Online-Transaktion genutzt werden kann. Für eine weitere Transaktion muss eine neue TAN verwendet werden. TANs werden eingesetzt, um elektronische Zahlungen von einem Konto zu veranlassen, um empfindliche Einstellungen, wie die Anmeldung zum Onlinebanking zu tätigen, um Zahlungsaufträge (Umbuchung, Überweisung, Dauerauftrag) oder Wertpapieraufträge zu erteilen. Mit der TAN-Eingabe wird die Transaktion final freigegeben.

Eine Transaktionsnummer besteht üblicherweise aus einer sechsstelligen Zahl, zum Beispiel: 465082. TAN-Verfahren unterscheiden sich in der Technik der TAN-Verfügbarkeit und des TAN-Abrufs.

Gut zu wissen: Häufig werden die Begriffe PIN und TAN verwechselt. Die PIN (Persönliche Identifikationsnummer) ist eine mindestens vierstellige Ziffernfolge, um sich generell gegenüber einem System/Gerät als berechtigte Person zu authentisieren. Sie ist transaktionsunabhängig und gilt, solange sie nicht geändert wird. Die TAN setzt üblicherweise eine Authentisierung voraus und gilt immer nur für einen konkreten Auftrag, zum Beispiel für eine bestimmte Überweisung.

Warum werden immer neue TAN-Verfahren entwickelt?

Onlinebanking soll im Idealfall hundertprozentig sicher sein. Das bedeutet unter anderem, dass nur Personen Transaktionen veranlassen können, die dazu auch tatsächlich berechtigt sind. Dazu dient das TAN-Verfahren. Seit dem Start des Bankings im Internet vor rund 25 Jahren hat sich die Sicherheitstechnik weiterentwickelt. Leider sind die Methoden, um unberechtigt an Kundendaten zu kommen oder Kontozugriff zu erhalten, ebenfalls ausgeklügelter geworden. Deshalb wurden die TAN-Verfahren immer wieder verbessert, um noch raffinierteren Angriffen zu begegnen. Erfahrungen aus jeweils vergangenen Attacken standen dabei Pate.

Ein anderer Grund für die Weiterentwicklung sind neue Formen des Onlinebanking. 1995 funktionierte Banking via Internet nur auf dem PC. Heute gibt es auch Mobile Banking per Smartphone oder Tablet. Für solche Geräte benötigt man ebenso TAN-Verfahren, die nicht nur sicher, sondern komfortabel sind. Die Verbreitung des Onlinebanking hat ebenfalls eine Rolle gespielt. Vor 25 Jahren noch eine Ausnahme, ist es heute die gängige Form, um Bankgeschäfte abzuwickeln. Das stellt erhöhte Anforderungen an TAN-Verfahren und an die Sicherheit.

Welche TAN-Verfahren gab und gibt es?

Nachfolgend machen wir eine kleine Zeitreise durch die Geschichte der TAN-Verfahren und wagen am Schluss einen Blick, wohin die Reise in der Zukunft gehen könnte.

Das klassische TAN-Verfahren – die TAN-Liste

Das klassische TAN-Verfahren wurde 1995 mit der Etablierung des Onlinebankings eingeführt und ist inzwischen Geschichte. Der Kunde erhielt von der Bank per Post eine Liste mit TAN-Nummern.. Für eine Überweisung oder einen anderen Auftrag musste er eine beliebige TAN-Nummer aus der Liste auswählen und zusätzlich zu den Überweisungsdaten eingeben. Die TAN war dann „verbraucht“. Weitere Transaktionen konnten in gleicher Weise mit dem „nicht verbrauchten“ Rest durchgeführt werden. War die Liste abgearbeitet, bekam man eine neue Liste zugesandt.

Das iTAN-Verfahren – die indizierte TAN oder iTAN

Da das klassische Verfahren erhebliche Sicherheitslücken aufwies, gingen die meisten Banken ab 2005 zum sogenannten iTAN-Verfahren über. Auch hier sandte die Bank den Kunden postalisch eine Papierliste mit TAN-Nummern zu. Der Unterschied zum klassischen Verfahren: den einzelnen iTANs waren Positionsnummern zugeordnet – sie waren „indiziert“. Der Kunde konnte die TANs nicht mehr nach Belieben auswählen.

Beim Anstoßen einer Transaktion wurde der Kunde aufgefordert, eine ganz bestimmte – zur angezeigten Positionsnummer gehörige – iTAN einzugeben. Nur mit dieser konnte die Transaktion, zum Beispiel eine Überweisung, freigegeben werden. Trotz zusätzlicher Sicherheit erwies sich auch das iTAN-Verfahren als anfällig für Attacken. Es fand daher zuletzt nur noch vereinzelt Verwendung. Seit dem 14. September 2019 ist es aufgrund europäischer Vorschriften – überarbeitete Europäische Zahlungsdienste-Richtlinie (PSD II) – in der Regel nicht mehr zulässig.

25 Jahre Onlinebanking – von der TAN-Liste zur photoTAN: TAN-Verfahren im Zeitablauf

Das mTAN-Verfahren – smsTAN oder mTAN

Beim mTAN-Verfahren gibt es keine vorgefertigte Liste mit TAN-Nummern. Soll eine Transaktion stattfinden, muss der Nutzer eine mTAN anfordern, die ihm per SMS zugesandt wird. Dies geschieht in der Regel über ein Handy, seltener über das Festnetz. Bei der SMS-Mitteilung erfolgt oft nicht nur die Nennung der mTAN, sondern wesentliche Transaktionsdaten wie Überweisungsdaten werden ebenfalls nochmal angezeigt. Der Nutzer kann so die Richtigkeit des Vorgangs prüfen und mit der Eingabe der TAN lässt sich die Transaktion oder der Auftrag finalisieren.

Das mTAN-Verfahren ist noch recht häufig im Einsatz. Sicherheitsrisiken entstehen hier, wenn das Mobiltelefon verloren geht. Auch Hackerangriffe auf Mobiltelefone sind möglich. Das Risiko ist am größten, wenn das Gerät sowohl für Onlinebanking als auch für SMS-Abruf genutzt wird. Deshalb wird dies oft nicht zugelassen. Immer mehr Banken setzen inzwischen auf andere TAN-Verfahren.

Das pushTAN-Verfahren – TAN mittels App

Auch die pushTAN funktioniert im Regelfall über das Mobiltelefon – aber mit einer speziellen pushTAN-App. Es gibt auch Anwendungen für Tablets und den PC. Dieses Verfahren ist mit unterschiedlichen Bezeichnungen im Einsatz. Die Bezeichnung pushTAN bzw. pushTAN-Verfahren wird vor allem im Sparkassensektor verwandt. Manchmal heißt die TAN auch appTAN. Um eine Transaktion anzustoßen, muss sich der Nutzer zuerst in der App mit einem eigenen Passwort einloggen. Erst dann kann er die TAN anfordern, die als Push-Nachricht aufs Smartphone gesendet wird. Bei manchen Anwendungen bleibt die TAN im Hintergrund, ohne dass der Nutzer sie sieht und die Transaktion muss in der App nur noch freigegeben werden.

Der Sicherheitsvorteil beim pushTAN-Verfahren liegt in dem doppelten Schutz durch Passwort und TAN. Ein Restrisiko durch die Angreifbarkeit von Mobiltelefonen und anderen Geräten von außen bleibt.  

chipTAN mit TAN-Generator

Um TANs per TAN-Generator zu erzeugen, gibt es verschiedene technische Lösungen mit unterschiedlichen Bezeichnungen. Häufig spricht man vom chipTAN-Verfahren, weil der Chip auf der Bankkarte eine tragende Rolle spielt. Das Prinzip ist überall gleich: die chipTAN wird von einem speziellen Zusatzgerät, dem TAN-Generator, erzeugt. Um diese nutzen zu können, muss die Bankkarte in das Gerät eingeführt werden. Der TAN-Generator nimmt dann eine Authentifizierung über das Lesen des Chips vor und die benötigte chipTAN kann erstellt werden. Man findet auch Lösungen ohne Bankkarte, dann muss sich der Nutzer auf andere Weise authentisieren.

Das Verfahren gilt als ziemlich sicher, weil Onlinebanking und TAN-Generierung auf unterschiedlichen Geräten erfolgen und zusätzlich die Bankkarte benötigt wird. Das schützt vor Manipulation. Viele Nutzer empfinden das Zweitgerät allerdings auch als umständlich. Für Mobile Banking ist das Verfahren nicht anwendbar.

Das photoTAN-Verfahren – TAN als Mosaikgrafik

Das photoTAN-Verfahren ist eine Weiterentwicklung des chipTAN-Verfahrens. Die TAN wird hier nicht mehr als Ziffernfolge angezeigt, sondern in codierter Form als mehrfarbige Mosaikgrafik auf dem Bildschirm. Dieser Code wird dann mit einem speziellen externen Lesegerät entschlüsselt und eine Transaktionsnummer in der gewohnten Form erzeugt. Alternativ kann zum Entschlüsseln und TAN-Erzeugen auch eine entsprechende Lese-App auf dem Smartphone oder Tablet genutzt werden.

comdirect und die Commerzbank waren die ersten deutschen Institute, die das photoTAN-Verfahren 2013 eingeführt haben. Es findet inzwischen auch vielfach woanders Anwendung. Aufgrund der Codierung und der Geräte-Trennung bietet dieses TAN-Verfahren besondere Sicherheit. Das setzt natürlich voraus, dass für Onlinebanking und App nicht das gleiche Smartphone oder Tablet genutzt wird.

Was ist das sicherste TAN-Verfahren – eine Übersicht

Nachfolgend ein Überblick über die heute noch eingesetzten Verfahren und die Bewertung ihrer Sicherheit. Es werden auch die jeweils größten Sicherheitsrisiken benannt.

TAN-VerfahrenFunktionsweiseSicherheit
mTANTAN wird per SMS aufs Handy geschickt und ist begrenzte Zeit für einen Auftrag nutzbar.Relativ sicher. Angriffsmöglichkeiten bei Smartphones durch Viren, Bots und unsichere Apps. Mittels Trojanern kann ggf. 2. SIM-Karte erstellt werden, um ebenfalls SMS zu erhalten. Nahezu sicher bei Festnetz-SMS.
pushTANDie TAN wird über eine pushTAN-App auf dem Handy angezeigt oder verwendet, ansonsten wie bei mTAN-Verfahren.Weitgehend sicher. Angriffsmöglichkeiten sind ähnlich wie bei Mobile TAN. Zusätzliche Schutzmaßnahmen sollen Angriffsrisiko verringern. Bedingung für Sicherheit: Onlinebanking und TAN-Empfang auf unterschiedlichen Geräten.
chipTANDie TAN wird mit einem TAN-Generator erzeugt. Um diesen zu nutzen, muss meist die Bankkarte eingesteckt werden.Besonders sicher. Größtes Sicherheitsrisiko ist sorgloser Umgang des Nutzers mit TAN-Generator und Bankkarte.
photoTANDie TAN wird als Mosaikgrafik codiert und muss mit einem Lesegerät oder per Smartphone entschlüsselt werden.Besonders sicher, sofern Nutzer Grundregeln der Sorgfalt und Gewissenhaftigkeit beachten.

Wie geht es mit den TAN-Verfahren weiter?

Die Erfahrung zeigt: auch die photoTAN wird nicht die letzte Entwicklung bei TAN-Verfahren bleiben. Der technische Fortschritt lässt sich nicht stoppen. Die Zukunft in der Bank-Sicherheitstechnik könnte biometrischen Verfahren gehören, die mit Gesichts- und Spracherkennung oder Fingerabdruck-Identifizierung arbeiten. Gut möglich, dass PIN und TAN dann Geschichte sind. Noch ist es aber nicht so weit.

Sie haben weitere Fragen zum Onlinebanking bei comdirect – zum Beispiel rund um das Thema Sicherheit oder zu Ihrem Girokonto bei uns? Sie können jederzeit unsere Kundenbetreuer kontaktieren – per Telefon unter 04106 – 708 25 00, über unser Kontaktformular oder per Live-Chat. Unsere Kundenbetreuer sind rund um die Uhr für Sie erreichbar – 7 Tage die Woche, 24 Stunden am Tag.