Onlinebanking: Wie sicher ist welches TAN-Verfahren?

Stand:
Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.
Tan Generator vor Bildschirm
Foto:

Verbraucherzentrale NRW

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst.
On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Die europäische Zahlungsdienste-Richtlinie war der Anlass, dass Banken und Sparkassen seit 14. September 2019 neue TAN-Verfahren eingeführt haben. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, lesen Sie in diesem Beitrag.

Was gilt beim Online-Shopping mit einer Bankkarte, wie einer Kreditkarte?

Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet greifen spätestens seit 15. März 2021. Seitdem reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – soll es Kartenzahlungen auch an der virtuellen Kasse nicht mehr geben. Das gilt für Onlinehändler oder andere Webseitenbetreiber, bei denen Sie mit Karte zahlen können.

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.

Video laden "TAN-Verfahren: Welche gibt es und wie sicher sind sie?"

Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Die Verfahren und ihre Kurzbewertung im Überblick

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die Sie tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhalten Sie diese als SMS auf Ihr Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Diese Methode ist relativ sicher, aber das Handy kann gestohlen und die TAN abgefangen werden. Das zuständige Bundesamt BSI warnt, dass das Abfangen von SMS Kriminellen mit entsprechendem Vorwissen gelingen kann.

Push-TAN / AppTAN: App auf dem Handy

Kurzbeschreibung: Auch hier wird für jede Überweisung, die Sie tätigen möchten, die TAN angefordert. Im Unterschied zur mTAN nutzen Sie hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit. Das zuständige Bundesamt BSI sagt, dass die Sicherheit des TAN-Verfahrens erhöht werden kann, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. 

Es ist eine Diskussion entbrannt, wie TAN-Generierungen zu bewerten sind, die zwar mit verschiedenen Apps, aber auf einem Gerät durchgeführt werden. Anlass bot ein Urteil des Landgerichts Heilbronn vom 16. Mai 2023 (Az: Bm 6 O 10/23, 6 O 10/23). 

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

Beachten Sie: Einige Verfahren erfordern die Eingabe eines Passworts zur Nutzung. Zum Teil können auch biometrische Merkmale wie der Fingerabdruck oder die Gesichtserkennung die Eingabe von Passwörtern ersetzen.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Weitere Ausnahmen finden Sie in diesem Beitrag.

Tipps für Sicherheit beim Onlinebanking

  • Erstellen Sie für Ihren Banking-Zugang ein starkes Passwort, das Sie nirgendwo anders nutzen!
  • Bewahren Sie die Zugangsdaten an einem sicheren Ort auf und teilen Sie sie niemandem per E-Mail oder SMS mit.
  • Online-Banking sollten Sie nie in einem öffentlichen WLAN betreiben. Ausnahme: Sie nutzen einen VPN-Tunnel.
  • Wie beim Verlust Ihrer Karte sollten Sie auch den Verlust des Smartphones bei der Bank melden, deren Banking-Apps Sie nutzen.

Dieser Inhalt wurde von der Gemeinschaftsredaktion in Zusammenarbeit mit den Verbraucherzentralen Hessen und Nordrhein-Westfalen für das Netzwerk der Verbraucherzentralen in Deutschland erstellt.

Ratgeber-Tipps

Cover "Das Haushaltsbuch" 26A
Das Haushaltsbuch
Mit dem Haushaltsbuch der Verbraucherzentrale führen Sie Ihr "Unternehmen Haushalt" erfolgreich - Sie…
zum Ratgeber-Shop

Aktuelle Meldungen

Zwei Frauen liegen vor einem Laptop, der die Internetseite der Firma Giga Fiber zeigt.
Foto: Canva Pro/Verbraucherzentrale NRW

Gratis-Glasfaser gegen Zahlungsdaten: Giga Fiber abgemahnt wegen Werbung

Schnelles Internet dank Glasfaser-Anschluss ganz ohne Kosten? Damit wirbt der Anbieter Giga Fiber. Als Bedingung nennt er, dass Sie regelmäßige Zahlungen wie Miete, Mobilfunkrechnung und sogar Kredittilgung über einen noch unbekannten Dienstleister abwickeln sollen.
Mehr dazu
Eine person hält einen Ausweis vor einen Computer mit einer Frau mit Lupe. Daneben das Wort Warnung in einem Ausrufezeichen.
Foto: Verbraucherzentrale

Video-Ident-Verfahren: Warnung vor Missbrauch

Mitarbeitende von betrügerischen Trading-Plattformen überreden Verbaucher:innen, an Video-Ident-Verfahren teilzunehmen. Auf dieser Basis und weiterer persönlicher Daten und Dokumente haben sie heimlich einen Kredit bei einer Bank beantragt. Wie schützen Sie sich und was können Sie tun?
Mehr dazu
Justitia Gericht Urteil Recht
Foto: sebra / stock.adobe.com

Verbraucherzentrale Bundesverband: Sammelklage gegen ExtraEnergie

Der Verbraucherzentrale Bundesverband (vzbv) verklagt den Anbieter ExtraEnergie. Es geht um enorme Preiserhöhungen um häufig mehr als 100 Prozent. Mit der Sammelklage will der vzbv Rückzahlungen für Kund:innen erreichen. Es ist die vierte Sammelklage innerhalb weniger Wochen.
Mehr dazu