Onlinebanking: Wie sicher ist welches TAN-Verfahren?

Stand:

Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst!
Tan Generator vor Bildschirm
Foto:

Verbraucherzentrale NRW

On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Wegen der aktuellen europäischen Zahlungsdiensterichtlinie müssen die Banken und Sparkassen seit 14. September 2019 ihre TAN-Verfahren anpassen. Nicht alle sind nun noch zulässig, die TAN-Listen auf Papier sind seit September zum Beispiel verboten. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, haben wir in einem separaten FAQ aufgeschrieben.

Was ändert sich beim Online-Shopping mit Kreditkarte?

Jede Schonfrist hat ein Ende – auch wenn sie aktuell noch einmal verlängert wurde: Während zunächst vorgesehen war, dass die Erleichterungen für Kreditkartenzahlungen im Internet bei der Kundenauthentifizierung zum 31. Dezember 2020 ablaufen sollten, hat die Finanzaufsicht Bafin kurzfristig doch noch weiteren Aufschub gewährt. Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet sollen nun stufenweise und erst ab 15. März 2021 greifen. Erst dann – und nicht wie ursprünglich geplant ab dem 1. Januar – reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – werden Kartenzahlungen nicht mehr genehmigt. Seit dem 15. Januar 2021 müssen Zahlungen ab 250 Euro schon mit zwei voneinander unabhängigen Faktoren freigegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authentifizierung" dann ab 150 Euro. In vollem Umfang sollen die Regeln ab Mitte März 2021 angewendet werden.

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.

Weil nach Einschätzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) viele Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, im Herbst 2019 noch nicht hinreichend auf die neuen Anforderungen vorbereitet waren, wurde für eine Übergangszeit – zunächst bis Ende Dezember 2020 – auf eine starke Kundenauthentifizierung im Internet verzichtet. Von dem erneuten Aufschub bis Mitte März profitieren sowohl Onlinehändler als auch Verbraucher, die das neue Sicherheitsverfahren noch nicht bei ihrer Bank freigeschaltet haben.

Ab Mitte März 2021 müssen Onlinehändler und andere Betreiber von Webseiten mit Kartenzahlungsmöglichkeit ihre Plattformen dann an die neuen Vorgaben angepasst haben – ansonsten dürfte der Kunde an der virtuellen Kasse dieses Zahlungsmittel nicht mehr nutzen können.

Video:

Verbraucherzentrale NRW

Die Verfahren und ihre Kurzbewertung im Überblick

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die man tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhält man diese als SMS auf sein Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Die Methode ist relativ sicher, aber das Handy kann gestohlen / die TAN kann abgefangen werden. Das zuständige Bundesamt BSI warnt vor SMS-TAN und empfiehlt, auf das Verfahren zu verzichten.

Push-TAN – Nachricht per Handy-App

Kurzbeschreibung: Auch hier wird für jede Überweisung, die man tätigen möchte, die TAN angefordert. Im Unterschied zur mTAN nutzt man hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

App-TAN – Einloggen in die Handy-App

Kurzbeschreibung: Startet man eine Überweisung, reagiert die App auf dem Smartphone. Hier muss man sich mit einem vorher gewählten Passwort einloggen. Eine TAN wird zwar im Hintergrund generiert und übergeben – Sie bekommen sie aber gar nicht zu sehen.

Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

iTAN-Liste – die abgelöste Papiervariante

Kurzbeschreibung: (Papier-)Listen mit TANs wurden bereits weitgehend abgeschafft – vereinzelt sind sie aber noch im Einsatz. Dabei werden die TANs aus einer vorher erstellten Liste ausgesucht und eingesetzt. Seit dem 14. September 2019 dürfen sie nicht mehr im Zahlungsverkehr verwendet werden. Das schreibt die derzeit geltende Europäische Zahlungsdiensterichtlinie (PSD2) vor.

Bewertung: Die Methode ist unsicher, weil die TANs nicht individuell für einen einzelnen Auftrag erstellt werden und daher leicht zu missbrauchen sind.

Beachten Sie: Einige Verfahren erfordern die Eingabe eines Passworts zur Nutzung. Zum Teil können mittlerweile auch biometrische Merkmale wie der Fingerabdruck die Eingabe von Passwörtern ersetzen. Die Stiftung Warentest hat im Juni 2020 einige Apps von Banken getestet. Dabei haben nur 8 von 38 getesteten Apps gut abgeschnitten. Kritisch war unter anderem der Datenschutz. Es können je nach Verfahren Kosten für den Verbraucher anfallen.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Weitere Ausnahmen finden Sie hier.

Tipps für Sicherheit beim Onlinebanking

  • Erstellen Sie für Ihren Banking-Zugang ein starkes Passwort, das Sie nirgendwo anders nutzen!
  • Bewahren Sie die Zugangsdaten an einem sicheren Ort auf und teilen Sie sie niemandem per E-Mail oder SMS mit.
  • Online-Banking sollten Sie nie in einem öffentlichen WLAN betreiben. Ausnahme: Sie nutzen einen VPN-Tunnel.
  • Wie beim Verlust Ihrer Karte sollten Sie auch den Verlust des Smartphones bei der Bank melden, deren Banking-Apps Sie nutzen.

Dieser Inhalt wurde von den Verbraucherzentralen Nordrhein-Westfalen und Hessen für das Netzwerk der Verbraucherzentralen in Deutschland erstellt.