Die Banken haben im September 2019 das bekannteste TAN-Verfahren beim Online-Banking abgeschafft, die iTAN-Papierlisten. Wir erklären Ihnen, worauf Sie achten müssen, was für andere Verfahren es gibt und welche Bank künftig welches TAN-Verfahren bietet.
Wenn Sie Ihre Bankgeschäfte online erledigen, brauchen Sie für jeden Auftrag eine Transaktionsnummer, kurz TAN. Die TAN-Nummer funktioniert wie ein Einmalkennwort, mit dem Sie die Transaktion – beispielsweise eine Überweisung, einen Dauerauftrag oder die Änderung Ihrer persönlichen Daten – einzeln freigeben und somit veranlassen können.
Auf diese Weise schützen TAN-Verfahren Ihr Online-Banking vor unerlaubtem Zugriff durch Dritte.
Bei diesem TAN-Verfahren bekommen Sie als Kunde von der Bank regelmäßig per Post eine Papierliste mit ca. 100 durchnummerierten sechsstelligen TAN-Nummern zugeschickt. Zur Freigabe einer Transaktion suchen Sie dann jeweils die angeforderte TAN-Nummer aus der Liste und geben sie ein.
Aus Sicherheitsgründen. iTAN war lange Standard im Online-Banking. Dieses TAN-Verfahren macht es Betrügern mittlerweile allerdings zu leicht. Über Phishing gelingt es immer wieder, TAN-Nummern abzufangen und unrechtmäßig Geld von Konten abzuzweigen. Sowohl das Bundeskriminalamt als auch das Bundesamt für Sicherheit und Informationstechnik (BSI) bescheinigen dem iTAN Verfahren „nur eingeschränkten Schutz“.
Die alten iTAN-Listen haben am 14. September 2019 ihre Gültigkeit verloren. Seitdem können Sie mit Ihrer alten Papier-TAN-Liste keine Überweisungen von Ihrem Girokonto mehr tätigen. Sie benötigen nach der neuen Zahlungsdienstrichtlinie der EU (PSD2) ein anderes TAN-Verfahren.
Sie gelten als sicherer. Ihre Transaktionen beim Online-Banking sind besser geschützt, weil die TAN-Nummer in Form eines dynamischen Authentifizierungscodes zeitgleich zu Ihrem Geldgeschäft erzeugt wird. Für diese neuen TAN-Nummern gelten folgende Sicherheitsstandards: Sie
Hierbei gibt es nun mehrere unterschiedliche TAN-Verfahren zur Erzeugung von TAN-Nummern.
Wir raten Ihnen, sich über die verschiedenen TAN-Verfahren der Banken zu informieren und auch bei Ihrer Bank nachzufragen, welche Verfahren sie bietet.
In den folgenden Kapiteln haben wir für Sie alle Informationen zusammengestellt, die Sie dazu brauchen.
Die verschiedenen TAN-Verfahren unterscheiden sich jeweils darin, wie die TAN-Nummer generiert wird, wie sie übermittelt wird und ob weitere Komponenten zur Legitimation während des Vorganges notwendig sind.
Um Ihnen einen Überblick zu verschaffen, welches TAN-Verfahren Ihre Bank seit Herbst 2019 bietet, haben wir für Sie die folgende Tabelle erstellt. Sie sehen dort auf einen Blick jeweils das TAN-Verfahren für den PC zuhause sowie fürs mobile Banking auf dem Smartphone.
| Bank | TAN-Verfahren für PC | TAN-Verfahren für mobile Banking |
|---|---|---|
| 1822direkt | 1822TAN+, QRTAN, mTAN | 1822TAN+ |
| comdirect | mTAN, photoTAN | mTAN, photoTAN |
| Commerzbank | mTAN, photoTAN | mTAN, photoTAN |
| consorsbank | SecurePlus-App, SecurePlus-Generator | SecurePlus-App, SecurePlus-Generator |
| DKB | TAN2go, chipTAN | TAN2go, chipTAN |
| Hypo-Vereinsbank | mTAN, appTAN, photoTAN | mobile nur appTAN |
| ING-DiBa | mTAN, Banking to go App, TAN-Generator, iTAN weiterhin für andere als Girokonten | mTAN, Banking to go App, TAN-Generator, iTAN weiterhin für andere als Girokonten |
| N26 | keine | pushTAN |
| Netbank | mTAN | SecureApp, mTAN |
| norisbank | mTAN, photoTAN | photoTAN |
| O2 Banking | keine | O2 Banking App |
| Postbank | BestSign, chipTAN comfort | mobile Postbank BestSign mobil |
| PSD Bank | mTAN, SmartTAN+ Generator | SecureGo App |
| Sparda-Banken | chipTAN, spardaSecureApp, mTAN | SpardaSecureApp |
| Sparkasse | chipTAN, mTAN, pushTAN | chipTAN, mTAN, pushTAN |
| TargoBank | mTAN, pushTAN, photoTAN | mTAN, pushTAN, photoTAN |
| Volks-/Raiffeisenbanken | SmartTAN plus, SmartTAn photo, mTAN, pushTAN | SmartTAN plus, SmartTAn photo, mTAN, pushTAN |
| Wüstenrot | mTAN | SecureGo App |
Quelle: Vergleich.de, Stand: Juli 2019
Die modernen TAN-Verfahren unterscheiden sich in ihrer Handhabung, den Kosten, der Flexibilität und auch in puncto Sicherheit. Im Folgenden möchten wir Ihnen die verschiedenen Methoden genauer vorstellen und die Vor- und Nachteile beleuchten. So können Sie sich ein eigenes Bild machen und das TAN-Verfahren finden, dass am besten zu Ihnen und Ihrem Finanzalltag passt.
SMS TAN/mTAN ist das beliebteste und verbreitetste TAN-Verfahren in Deutschland. Es gilt als relativ sicher, vorausgesetzt Sie verwenden unterschiedliche Geräte für das Online-Banking und die SMS TAN.
Für mTAN benötigen Sie ein Mobiltelefon oder ein Smartphone.
Um mTAN zu nutzen, müssen Sie Ihre Handynummer vorher bei der Bank registrieren. Dabei verifizieren Sie Ihre Handynummer mit dem TAN-Verfahren, das Sie aktuell nutzen. Die Bank schickt Ihnen dann per Post einen Aktivierungscode zu, den Sie beim Online-Banking eingeben müssen. So stellt die Bank sicher, dass sich nicht jemand unbefugt Zugriff auf Ihr Handy verschafft hat und die mTANs abfängt. Die genaue Anleitung zur Handy-Registrierung finden Sie in der Regel im persönlichen Bereich Ihres Online-Bankings.
Sie geben die Überweisungsdaten wie gewohnt in die Maske des Online-Bankings ein. Dann fordern Sie per Klick die Transaktionsnummer als mobile TAN bei der Bank an. Die Bank schickt Ihnen eine SMS, die die mTAN enthält sowie den Überweisungsbetrag und die Empfängerdaten anzeigt. Nun übertragen Sie die mTAN in Ihr Online-Banking und geben dadurch die Transaktion frei.
SMS TAN/mTAN gilt als relativ sicher, solange Sie zwei verschiedene Geräte für das Online-Banking und die SMS TAN nutzen. Läuft beides über das Smartphone, können Betrüger mit dem Angriff auf Ihr Smartphone sowohl die Login-Daten als auch die TAN-Nummer ausspähen. Sie sollten außerdem immer die Empfängerdaten und den Überweisungsbetrag, die in der TAN-SMS angezeigt werden, überprüfen. Sollte es Unstimmigkeiten zu Ihren Überweisungsdaten geben, brechen Sie den Vorgang sofort ab und melden Sie den Vorfall Ihrer Bank. Zusätzlich empfiehlt es sich, in regelmäßigen Abständen die hinterlegte Mobilfunknummer bei Ihrer Bank zu überprüfen.
Keine extra Anschaffungskosten. Beachten Sie aber, dass manche Banken für den SMS TAN-Service Gebühren verlangen. Am besten Sie informieren sich vor Eröffnung eines Girokontos über die Services und Inklusivleistungen der Bank. Hier gibt es große Unterschiede.
Das ChipTAN-Verfahren kommt ganz ohne Smartphone oder Handy aus. Sie benötigen dafür lediglich einen PC und als Zusatzgerät einen TAN-Generator, den Sie bei Ihrer Bank bekommen.
Bankkarte und ChipTAN-Generator. Das ist ein kleines, kabelloses Gerät, das Sie bei Ihrer Bank oder im Fachhandel erwerben können.
In der Regel müssen Sie sich online für das ChipTAN-Verfahren bei Ihrer Bank registrieren. Dazu folgen Sie den Anweisungen, die in Ihrem Online-Banking meistens unter den Menüpunkten „Einstellungen“ zu finden sind. Sie erhalten dann einen Brief von Ihrer Bank mit einer Start-PIN, die Sie zur Initialisierung der Bankkarte benötigen.
Sie geben Ihre Überweisungsdaten wie gewohnt im Online-Banking ein. Dann öffnet sich auf dem Bildschirm ein Fenster mit einer Grafik, die einem Strichcode ähnelt. Nun stecken Sie Ihre Bankkarte in den sogenannten ChipTAN-Generator. Dadurch wird das Gerät aktiviert und liest über lichtempfindliche Kontakte die Grafik auf dem Bildschirm aus. Sollte das optische Auslesen einmal nicht funktionieren, haben Sie immer die Möglichkeit, die Daten manuell an den Generator zu übermitteln. Das Gerät zeigt Ihnen noch einmal die wichtigsten Daten des Überweisungsauftrags an. Sobald Sie diese bestätigen, erstellt der Generator die Transaktionsnummer, die Sie dann wiederum in die Maske des Online-Bankings eingeben und so Ihre Überweisung freigeben.
Durch den Einsatz von drei getrennten Komponenten – Bankkarte, Chip-TAN-Generator und Online-Banking – gilt das Chip-TAN-Verfahren als sicher. Vor allem weil der TAN-Generator als unabhängiges Gerät nicht über das Internet oder Mobilfunk angegriffen oder manipuliert werden kann. Sollte Ihr Generator jedoch gestohlen werden oder verloren gehen, sollten Sie die Bank informieren und einen neuen anfordern.
TAN-Generatoren kosten in der Regel zwischen 10 und 15 €.
Das PhotoTAN-Verfahren arbeitet mit Grafiken (z. B. Barcode), die am PC-Bildschirm erzeugt werden und dann mittels Smartphone-App oder einem speziellen Lesegerät in TAN-Nummern umgewandelt werden.
Smartphone, Photo-TAN-Lesegerät oder Photo-TAN-App (aus dem Apple App Store oder dem Google Play Store).
Sie müssen sich im persönlichen Bereich Ihres Online-Bankings für das Photo-TAN-Verfahren registrieren. Die Registrierung bestätigen Sie mit Ihrem bisher gewohnten TAN-Verfahren. Per Post erhalten Sie nach einigen Tagen einen Registrierungsbrief von Ihrer Bank mit einer persönlichen Aktivierungsgrafik. Diese Grafik ist nur begrenzt gültig und muss zeitnah durch das Lesegerät oder die Photo-TAN-App ausgelesen werden. Erst dann sind Sie für das TAN-Verfahren Photo-TAN freigeschaltet.
Nachdem Sie Ihre Überweisungsdaten beim Online-Banking eingegeben haben, erscheint auf dem Bildschirm eine Grafik. Mithilfe des Photo-TAN-Lesegeräts oder der Photo-TAN-App auf Ihrem Smartphone scannen Sie die Grafik. Die App oder das Lesegerät entschlüsseln die Bilddatei und erzeugen eine Transaktionsnummer. Diese geben Sie dann beim Online-Banking ein und verifizieren damit die Überweisung.
Auch dieses TAN-Verfahren gilt als sicher, da die Entschlüsselung der Bilddaten vom Online-Banking getrennt in der App oder dem Lesegerät vorgenommen wird. Die Bank sorgt mit regelmäßigen Updates der App für zusätzliche Sicherheit. Auch bei diesem TAN-Verfahren ist es wichtig, dass ein Verlust oder Missbrauch Ihres Smartphones oder des Lesegerätes sofort der Bank gemeldet wird.
Die App ist kostenlos, das Photo-TAN-Lesegerät kostet ca. 15 €.
PushTAN ist nach mTAN das verbreitetste Verfahren. Je nach Bank firmiert es unter verschiedenen Eigennamen wie TAN2Go (DKB), s Pushtan App (Sparkasse), SpardaSecureApp (Sparda Bank) oder BestSign (Postbank).
Für PushTAN benötigen Sie ein Smartphone sowie eine spezielle PushTAN App.
Sie müssen sich bei Ihrer Bank zum PushTAN-Verfahren anmelden und freischalten lassen. Per Post erhalten Sie die Zugangsdaten für die App. Die App wiederum erhalten Sie im App Store von Apple oder im Google Play Store. Es ist wichtig, die App nur aus diesen beiden seriösen Quellen zu laden, keinesfalls sollten Sie sie über einen Link aus einer E-Mail oder von einer unseriösen Website laden, da diese gefälscht sein könnten.
Sie geben wie gewohnt Ihre Überweisungsdaten beim Online-Banking an. Dann wechseln Sie in die passwortgeschützte PushTAN App, die Ihnen die Überweisungsdaten noch einmal anzeigt. Nach Ihrer Bestätigung wird Ihnen in der App die TAN angezeigt. Diese Zahlenkombination übertragen Sie ins Online-Banking und verifizieren so die Überweisung. Der Vorteil gegenüber SMS TAN besteht also darin, dass Sie kein zweites Gerät benötigen und Ihre Bankgeschäfte sicher und komfortabel über Ihr Smartphone abwickeln können.
Das PushTAN-Verfahren wird ebenfalls als sicher eingestuft. Sie können die Sicherheit noch erhöhen, indem Sie die App auf einem anderen Gerät nutzen, als das, mit dem Sie das Online-Banking betreiben. Sollte Ihr Smartphone gestohlen werden oder verloren gehen, müssen Sie den Verlust unverzüglich der Bank melden und Ihr Online-Banking sperren lassen.
Keine, die PushTAN App ist kostenlos.
HBCI steht für Home Banking Computer Interface und bezeichnet strenggenommen kein TAN-Verfahren, sondern ein ausgeklügeltes Sicherheitsverfahren für Bankgeschäfte im Internet. Es eignet sich vor allem für Firmen oder wenn mehrere Konten bei verschiedenen Banken verwaltet werden sollen.
Für HBCI benötigen Sie eine spezielle Finanzsoftware, einen Kartenleser, eine HBCI-Chipkarte sowie eine Geheimzahl.
Sie müssen eine spezielle HBCI-Finanzsoftware kaufen und auf Ihrem PC installieren. Daneben benötigen Sie noch eine HBCI-Chipkarte sowie einen PIN; beides beantragen Sie bei Ihrer Bank. Beim ersten Gebrauch von HBCI erstellt die Software zwei digitale Schlüssel, die als elektronische Signatur Ihrer Transaktionen dienen. Der „private“ Schlüssel bildet Ihre elektronische Signatur. Er wird auf der HBCI-Chip-Karte oder einem USB-Stick gespeichert und kann nur mit Hilfe des vorher zugesandten PINs abgerufen werden. Der „öffentliche“ Schlüssel dient der Bank zur Überprüfung Ihrer Aufträge. Bevor Sie mit HBCI starten, müssen Sie den öffentlichen Schlüssel einmalig an Ihre Bank übermitteln. Zusätzlich müssen Sie den sogenannten HASH-Wert, das ist eine 40- oder 64-stelligen Folge aus Ziffern und Großbuchstaben in einem sogenannten „INI-Brief“, also Initialisierungsbrief, unterschrieben an Ihre Bank zurücksenden. Der HASH-Wert stellt eine Art digitalen Fingerabdrucks des öffentlichen Schlüssels dar und dient der Bank als Identifizierung.
Bei HBCI bereiten Sie die Überweisung nicht im Online-Banking, sondern in der Finanzsoftware vor. Haben Sie alle Daten eingegeben, verbinden Sie den Kartenleser mit dem PC, stecken Ihre HBCI-Chipkarte in den Kartenleser und identifizieren sich mittels der PIN. Bevor die Transaktion an die Bank übermittelt wird, unterschreibt der private Schlüssel auf Ihrer Chipkarte den Vorgang. Zusätzlich wird die Überweisung mit dem öffentlichen Schlüssel codiert. Über eine mehrfach gesicherte Leitung wird die Überweisung jetzt an die Bank gesendet.
Das HBCI-Verfahren gilt als das sicherste Transaktions-Verfahren. Durch das Zusammenspiel von Software, Chipkarte, Kartenleser und persönlicher Geheimzahl ist es quasi unmöglich, sich in das System einzuklinken. Dafür bleiben aber Komfort und Flexibilität auf der Stecke und das Verfahren ist kostspieliger als herkömmliche TAN-Verfahren.
Die Finanzsoftware kostet zwischen 20 und 100 € und kann direkt bei der Bank oder im Handel erworben werden. Direkt beim Hersteller können Sie auch monatliche Lizenzen für die Software erwerben, dann zahlen Sie eine Gebühr zwischen 5 und 10 € im Monat. Den Kartenleser gibt es ab 60 € ebenfalls direkt bei der Bank oder im Handel. Beachten Sie, dass einige Banken für die Zusendung der INI-Briefe ebenfalls eine Gebühr verlangen.
Bei korrekter Anwendung sind alle vorgestellten TAN-Verfahren sicher. Das heißt: Solange Sie selbst immer ein aktuelles Virenprogramm auf Ihrem Computer oder Smartphone haben und sich vor Phishing-Mails hüten, sollte es Betrügern nicht gelingen, den Schutz Ihres Online-Bankings zu knacken.
Stiftung Warentest hat 2019 einzelne TAN-Verfahren unter die Lupe genommen und kam dabei zum Ergebnis, dass vor allem das ChipTAN- und das photoTAN-Verfahren am sichersten sind, wie Sie in der folgenden Tabelle noch einmal nachlesen können.
| TAN Verfahren: | So geht's | Sicherheit |
|---|---|---|
| photoTAN / QR-TAN | Grafik am PC, dazu ein Lesegerät oder eine Smartphone App | sehr hoch |
| chipTAN | TAN-Generator mit EC Karte | sehr hoch |
| pushTAN | App auf dem Smartphone und dazu eine zweite Banking App | hoch |
| mTAN | SMS aufs Handy oder Smartphone | hoch |
Quelle: Finanztest, Ausgabe: 4/2019
Das HBCI-Verfahren haben die Verbraucherschützer nicht getestet, da es sich dabei vor allem um eine Geschäftslösung handelt. Es gilt allgemein jedoch als sehr sicher.
Nicht nur die Sicherheit ist ein wichtiger Faktor bei der Wahl des TAN-Verfahrens. Es kommt auch auf Ihr persönliches Nutzerverhalten an. Dazu einige Überlegungen, die Ihnen bei der Auswahl helfen können:
Letztendlich sollten Sie das TAN-Verfahren wählen, das Ihnen für Ihre Bedürfnisse die bestmögliche Kombination aus technischer Sicherheit und Komfort bietet.
Die meisten Banken bieten Ihren Kunden mindestens zwei TAN-Verfahren an. Das Standard-TAN-Verfahren ist fast immer SMS TAN beziehungsweise mTAN. Die darüber hinaus angebotenen Verfahren variieren von Bank zu Bank.
Bei einigen Banken müssen Sie sich jedoch auf ein TAN-Verfahren festlegen. Ein Wechsel zwischen den TAN-Verfahren ist hier zwar möglich, muss jedoch erst beantragt werden. Werfen Sie beim Girokonto Vergleich also auch einen kritischen Blick auf die angebotenen Verschlüsselungsverfahren und die Wechselmöglichkeiten.
Wenn Sie sich für ChipTAN entscheiden, werden Sie schon bald vor die Wahl des passenden TAN-Generators gestellt. Je nach Hersteller und Modell unterscheiden sich die Geräte stark in der Optik und Funktionalität.
Die kleinsten TAN-Generatoren sind gerade mal so groß wie ein USB-Stick und verfügen nur über eine kleine Anzeige. Andere Modelle sehen aus wie ein kleiner Taschenrechner und haben einen großzügigen Ziffernblock und ein mehrzeiliges Display. Auch hier entscheidet wieder Ihr persönliches Nutzerverhalten über die Wahl des passenden TAN-Generators. Wichtig ist, dass das Gerät dem Sicherheitsstandard HHD 1.4, dem aktuellen Standard der Deutschen Kreditwirtschaft, entspricht.
TAN-Generatoren sind nicht personen- oder bankbezogen! Das heißt, das Gerät kann von mehreren Personen und für verschiedene Banken und Konten genutzt werden. Bei einem Kontowechsel ist es deshalb auch möglich, den bereits vorhandenen TAN-Generator weiter zu nutzen.
TAN-Generatoren erhalten Sie direkt bei Ihrer Bank oder im Fachhandel. Die Banken bieten meistens Geräte von etablierten Herstellern wie Reiner SCT oder Kobil an. Häufig werden die Marken-Geräte gelabelt und erscheinen dann im Design der jeweiligen Bank, die Funktionalität ist davon nicht betroffen.
