Überblick gängiger TAN-Verfahren
Richtlinien, Systeme, Bankenliste und FAQ`s
Stand: 18.10.2023
Fragen Sie bei Ihrer Bank nach alternativen TAN-Verfahren ohne Papier oder Listen. Das erhöht die Sicherheit.
Online-Banking ist praktisch und spart Zeit. In den letzten Jahren entstanden neue Methoden der TAN-Übermittlung, stets mit dem Ziel, die Sicherheit des Online-Bankings zu erhöhen. Zudem gehören die klassischen TAN-Listen der Vergangenheit an. Aber leider finden Betrüger immer wieder Wege, diese Sicherheitsbemühungen zu umgehen. Die meisten TAN-Verfahren sind jedoch bei Beachtung einiger Regeln als sicher einzustufen. Nutzen Sie z.B. unbedingt zwei voneinader getrennte Geräte und halten Sie diese immer auf dem aktuellen Stand.
Übersicht EU-Richtlinie PSD2 Papierlisten TAN per SMS Banking-Apps Nummern-Generatoren Grafik-Codes TAN Verfahren der Banken Wie sicher sind diese TAN-Verfahren? Wie kann ich mich vor Betrug schützen? Fazit
Transaktionsnummern zur sicheren Autorisierung von Online-Bankaufträgen
Die Transaktionsnummer, kurz TAN genannt, brauchen Sie, wenn Sie online einen Bankauftrag wie zum Beispiel eine Überweisung oder einen Dauerauftrag erteilen möchten. Diese Nummer dient der Autorisierung dieses Auftrags, ähnlich einer Unterschrift. Deshalb sind TANs besonders für Betrüger interessant. Aus diesem Grund gibt es mittlerweile verschiedenste TAN-Verfahren, die eine möglichst sichere Übermittlung der TANs anstreben. Allerdings bietet nicht jede Bank jedes Verfahren an.
Hier ist zunächst eine Übersicht aller gängigen TAN-Verfahren. Klicken Sie für mehr Details einfach auf den Namen des jeweiligen Verfahrens.
| TAN-Verfahren | Beschreibung | Sicherheit |
|---|---|---|
| mobileTAN mTAN smsTAN |
Kunde bekommt TAN per SMS auf das Handy geschickt und hat begrenzte Zeit, diese einzugeben | Relativ sicher. Durch Trojaner können SMS abgefangen werden. Zudem kann eine 2. SIM-Karte erstellt werden, die ebenfalls alle SMS bekommt. |
| pushTAN | Kunde bekommt TAN auf pushTAN-App der Bank angezeigt | Relativ sicher, wenn Online-Banking und TAN-Empfang nicht auf dem gleichen Gerät erfolgen. |
| chipTAN eTAN smartTAN |
Kunde nutzt einen TAN-Generator, der wahlweise mit oder ohne Bankkarte funktioniert, und nach Einbeziehen der Auftragsdaten die TAN anzeigt | Nahezu sicher, wenn Sie sich als Nutzer gewissenhaft verhalten. |
| photoTAN QR-TAN |
Kunde scannt mit dem Smartphone oder einem Lesegerät eine bunte Barcode-Grafik und erhält anschließend die TAN | Nahezu sicher, wenn Sie Ihr Smartphone nicht verlieren und sich gewissenhaft verhalten. |
EU-Zahlungsdiensterichtlinie PSD2
Seit dem 14. September 2019 sind die Kreditinstitute durch die EU-Richtlinie PSD2 (Payment Services Directive 2) zur starken Kundenauthentifizierung verpflichtet. Zur Erhöhung der Sicherheit muss bei Onlinezahlungen und beim Zugriff auf das Online-Banking die Zwei-Faktor-Authentifizierung angewendet werden. Das bedeutet, dass die Authentifizierung über 2 Faktoren aus den folgenden 3 Kategorien erfolgen muss:
- Wissen (z.B. PIN, Passwort)
- Besitz (z.B. Smartphone, Kontokarte, TAN-Generator)
- Inhärenz (z.B. Fingerabdruck, Gesichtserkennung, Stimme)
Beim Einloggen in das Online-Banking reicht es daher nicht mehr, nur Benutzerkennung und PIN einzugeben. Ab sofort muss der Login auch per TAN bestätigt werden. Es sind hierbei nur noch dynamische TAN-Verfahren erlaubt. Die klassischen TAN-Listen dürfen von den Banken nicht mehr eingesetzt werden.
Papierlisten: das älteste Verfahren
Noch vor wenigen Jahren erhielten alle Online-Banking-Nutzer per Post gedruckte TAN-Listen. Zur Ausführung einer Überweisung musste man nur eine beliebige TAN auf der Liste eingeben. Das war günstig und einfach, aber auch sehr unsicher. Wenn Sie z.B. bei einer Phishingattacke auf eine gefälschte Banksseite umgeleitet wurden und danach eine Überweisung tätigten, hätte die Eingabe einer beliebigen TAN gereicht, um Ihr gesamtes Konto leer zu räumen.
Einige Banken boten bis September 2019 noch das iTAN/BEN- beziehungsweise iTANplus-Verfahren an. Dabei erschien vor der Freigabe des Auftrages auf der Website der Bank eine Bestätigungsnummer (BEN), die die Position der benötigten TAN auf der Liste angab. Nach der Freigabe des Auftrags kam ein Bestätigungscode, der mit der zugehörigen Nummer auf der Liste übereinstimmen musste. Das iTAN-Verfahren war schon deutlich sicherer als die klassische TAN-Liste, da die Eingabe einer ganz bestimmten TAN erforderlich war. Trotzdem kann ein Trojaner auf Ihrem Rechner alle wichtigen Daten inklusive der TAN abfangen und an die Betrüger übermitteln, die sich dann auf Ihrem Konto bedienen.
TAN-Listen sind seit 14.09.2019 durch die EU-Zahlungsdiensterichtlinie PSD2 nicht mehr erlaubt. Die Banken dürfen ab sofort nur noch dynamische TAN-Verfahren benutzen, so dass bei jeder Transaktion auch eine neue TAN generiert wird.
Daher sind nur noch die folgenden TAN-Verfahren gültig:
TAN per SMS: nur mit Mobiltelefon nutzbar
Weit verbreitet ist mittlerweile die mTAN, auch unter den Bezeichnungen smsTAN oder mobileTAN bekannt. Bei der Registrierung zum Online-Banking gibt der Nutzer seine Mobilfunknummer an. Für jeden Auftrag erzeugt die Bank eine TAN unter Einbeziehung der Auftragsdaten inklusive Datum und Uhrzeit. Diese erhält der Nutzer nach Auftragsabgabe per SMS auf sein Mobiltelefon. Wenn sie nicht innerhalb von fünf bis zwölf Minuten (je nach Bank) eingelöst wird, verfällt sie aus Sicherheitsgründen. Einige Kreditinstitute berechnen bis zu 0,12 Euro pro SMS. Das mTAN-Verfahren ist nur bedingt sicher. Betrüger nutzen nicht nur Spam-Mails auf Ihrem Computer, sondern spielen auch Trojaner auf Ihr Handy, um TANs abzufangen.
PushTAN: Banking-Apps auf mobilen Geräten
Das sogenannte pushTAN-Verfahren ist dem mTAN-Verfahren sehr ähnlich. Sie bekommen Ihre TAN dabei nicht als SMS, sondern in der pushTAN-App Ihrer Bank angezeigt. Zunächst geben Sie wie gewohnt Ihre Auftragsdaten ein. Anschließend öffnen Sie die App auf Ihrem mobilen Gerät und geben Ihr Passwort ein. Nach dem Prüfen Ihrer Daten wird die nur für diesen Auftrag gültige TAN angezeigt.
Viele Banken bieten mittlerweile eine pushTAN-App für Smartphones und Tablets an. Die Sicherheit wird durch einen Passwortschutz und kryptografische Schlüssel gewährleistet. Achten Sie aber unbedingt darauf, dass Sie zwei getrennte Geräte, also z.B. Ihren PC und Ihr Smartphone benutzen. Es wäre beispielsweise weniger sicher, den Auftrag auf dem Tablet einzugeben und dann auch die App auf dem gleichen Tablet zu benutzen, da Betrüger nur dieses eine Gerät hacken müssten, um an Ihr Geld zu kommen.
E-TAN: Nummern-Generatoren mit und ohne Bankkarte
Es gibt auch die Möglichkeit, Transaktionsnummern mit einem TAN-Generator zu erzeugen, den Sie von der Bank entweder kostenlos oder gegen eine Gebühr von bis zu 15 Euro erhalten. Diese TAN-Verfahren heißen eTAN, smartTAN oder chipTAN. Es gibt grundsätzlich zwei Typen von TAN-Generatoren – mit oder ohne Bankkarte. Ein Generator ohne Bankkarte berechnet die TAN auf der Grundlage interner Schlüssel und bezieht dabei auch die Auftragsdaten mit ein. Generatoren, die mit der Bankkarte arbeiten, erzeugen die TAN aus den Daten der Karte und den Auftragsdaten. Hier sind die verschiedenen Verfahren kurz erklärt:
- eTAN: Nach dem Eingeben der Auftragsdaten erhalten Sie von der Bank eine Kontrollziffer, die Sie in den TAN-Generator eingeben. Anschließend wird die TAN angezeigt.
- eTAN plus: Wie beim eTAN-Verfahren. Zusätzlich wird aber die Bankkarte in den TAN-Generator gesteckt, die dann in Verbindung mit der Kontrollnummer die TAN erzeugt.
- chipTAN manuell / smartTAN plus: Die Auftragsdaten müssen neben dem Computer auch in den TAN-Generator eingegeben werden. Dadurch wird die nur für diesen Auftrag gültige TAN generiert.
- chipTAN komfort / smartTAN optic: Nach der Eingabe Ihrer Überweisungsdaten werden diese von der Bank umgerechnet und als eine sogenannte „Flickergrafik“ dargestellt. Sie stecken nun Ihre Girocard in den TAN-Generator und halten diesen an den Flickercode. Nach dem Einlesen der Daten können Sie die Kontonummer sowie den Betrag kontrollieren und mit „OK“ bestätigen. Danach zeigt das Gerät die TAN für diesen Auftrag an.
Diese Verfahren gelten als größtenteils sicher, da zwei voneinander getrennte Geräte benutzt werden. Die Daten werden zudem nochmals auf dem TAN-Generator angezeigt, so dass Sie diese kontrollieren können.
Übermittlung durch Grafik-Codes: das neueste Verfahren
Für die Verfahren photoTAN und QR-TAN installiert der Nutzer eine App auf seinem Smartphone und registriert diese bei der Bank. Als Alternative stellen Banken ein spezielles Lesegerät zur Verfügung. Nach der Übertragung des Bankauftrags erscheint auf der Banken-Website eine Grafik mit der verschlüsselten TAN. Das kann ein QR-Code sein oder eine ähnliche, bunte Grafik. Der Nutzer fotografiert diesen Code mit dem Smartphone oder dem Lesegerät und entschlüsselt ihn damit. Die dann angezeigte TAN ist nur für diesen Auftrag gültig. Solange Sie Ihr Smartphone nicht verlieren und sich keinen Trojaner einfangen, ist das Verfahren sicher.
TAN-Verfahren der Banken in der Übersicht
In der folgenden Übersicht sehen Sie, welche Bank welche TAN-Verfahren bietet. Sollten Gebühren anfallen, stehen diese in Klammern.
| Name der Bank | TAN Verfahren |
|---|---|
| 1822direkt | mobileTAN (0,09 € pro SMS), pushTAN (1822TAN+ App), photoTAN (QRTAN+) |
| Advanzia Bank | nur Passwort |
| Amsterdam Trade Bank | nur Passwort |
| Bank11 Die Autobank | mobileTAN |
| Bank für Kirche und Caritas | pushTAN (VR-SecureGo App), chipTAN (Smart-TAN) |
| Bank of Scotland | mobileTAN |
| Barclays | mobileTAN |
| BBBank | pushTAN (SecureGo App), chipTAN (Smart-TAN) |
| BIGBANK | mobileTAN |
| BMW Bank | Transaktions-Kennwort (TA-Kennwort) |
| BW-Bank | pushTAN (BW-pushTAN-App), chipTAN (eTANplus-Verfahren) |
| Comdirect | mobileTAN (0,09 € pro SMS), photoTAN Besonderheit: bei Beträgen bis 30 € nur bei jeder 6. Überweisung TAN-Eingabe notwendig |
| Commerzbank | mobileTAN (0,12 € pro SMS), photoTAN |
| Consorsbank | pushTAN (SecurePlus-App) |
| Crédit Agricole Bank | nur Telefon-Banking |
| Credit Europe Bank | mobileTAN |
| CreditPlus Bank | nur Telefon-Banking |
| Cronbank | mobileTAN (0,08 € pro SMS), pushTAN (VR-SecureGo App; 0,08 € je TAN), chipTAN (Smart-TAN) |
| Degussa Bank | mobileTAN, chipTAN, pushTAN (appTAN) |
| Denizbank | pushTAN |
| Deutsche Bank | mobileTAN (0,09 € pro SMS), photoTAN |
| DKB Bank | pushTAN (DKB-TAN2go-App), chipTAN |
| EDEKA Bank | mobileTAN, pushTAN (VR-SecureGo App) |
| EthikBank | pushTAN (VR-SecureGo App), photoTAN (smartTAN photo) |
| Evangelische Bank | pushTAN (VR-SecureGo App), photoTAN (Smart-TAN photo) |
| GarantiBank | nur Passwort |
| GEFA Bank | mobileTAN (0,08 € pro SMS) |
| GLS Bank | pushTAN (SecureGo App), chipTAN (SmartTAN) |
| Hanseatic Bank | mobileTAN |
| HypoVereinsbank | pushTAN (appTAN), photoTAN |
| Ikano Bank | mobileTAN |
| IKB Bank | mobileTAN |
| ING | photoTAN, Banking to go App (Fingerabdruck oder 5-stellige mobilePIN) |
| İşbank | pushTAN (İŞBANK TAN App) |
| KD-Bank | pushTAN (VR-SecureGo App), photoTAN (Smart-TAN photo) |
| Klarna | nur Telefon-Banking |
| LeasePlan Bank | nur Passwort |
| Mercedes-Benz Bank | nur Passwort |
| Merkur Privatbank | mobileTAN, pushTAN (SecureGo App) |
| N26 | nur 4-stellige Überweisungs-PIN |
| NIBC | mobileTAN, pushTAN (SecureGo App), chipTAN (smartTAN plus-Verfahren) |
| Norisbank | mobileTAN (0,09 € je SMS), photoTAN |
| Opel Bank | mobileTAN |
| Openbank | mobileTAN, pushTAN |
| OYAK ANKER Bank | mobileTAN |
| Pax-Bank | mobileTAN, pushTAN (VR-SecureSIGN-App),chipTAN (Smart-TAN-Verfahren) |
| pbb direkt | pushTAN (pbb direkt push TAN App) |
| Postbank | pushTAN (Postbank BestSign App, Postbank App Finanzassistent oder BestSign mit Gerät) |
| PrivatBank | mobileTAN, pushTAN (PrivatSecure App), chipTAN (Digipass) |
| ProCredit Bank | mobileTAN |
| PSA Direktbank | mobileTAN |
| Renault Bank | pushTAN (SecureGo+ Renault Bank direkt App) |
| Santander Bank | mobileTAN, SantanderSign (Signatur-APP mit asymmetrischer Kryptographie) |
| Sberbank Direct | mobileTAN |
| Skatbank | pushTAN (VR SecureGo plus App), chipTAN (Smart-TAN) |
| Steyler Bank | mobileTAN, pushTAN (VR-SecureSIGN-App), chipTAN (SMART-TAN-Verfahren) |
| Suresse Direkt Bank | mobileTAN |
| SWK Bank | nur Telefon-Banking |
| Targobank | mobileTAN, easyTAN in der Targobank Banking-App, photoTAN |
| Triodos Bank | mobileTAN, pushTAN (SecureGo App), chipTAN (SMART-TAN-Plus-Verfahren) |
| UmweltBank | mobileTAN, pushTAN (UB TAN-App) |
| Varengold Bank | mobileTAN |
| Volkswagen Bank | chipTAN (Bankey), photoTAN |
| Ziraat Bank | mobileTAN |
Wie sicher sind diese TAN-Verfahren?
Das mTAN-Verfahren gilt als relativ sicher. Allerdings gab es bereits vereinzelt Betrugsfälle, da Kriminelle am Computer persönliche Daten ausspionierten und sich unter Angabe dieser Daten vom Mobilfunkanbieter eine zweite SIM-Karte schicken ließen, mit der sie dann das eigene Handy als TAN-Empfänger nutzten. Problematisch sind auch Sicherheitslücken in den Betriebssystemen von Smartphones.
Tipp
Nutzen Sie ein Smartphone nie gleichzeitig für den TAN-Empfang und das Online-Banking. Ein idealer TAN-Empfänger ist ein nicht internetfähiges Mobiltelefon. Überprüfen Sie, ob Ihr Mobilfunkanbieter eine neue SIM-Karte nur an die bei Vertragsabschluss angegebene Adresse liefert oder bei Bestellung einer zweiten SIM-Karte eine Info-SMS an die erste SIM schickt.
Für das pushTAN-Verfahren gelten ähnliche Sicherheitsvorkehrungen wie für das mTAN-Verfahren. Benutzen Sie immer zwei von einander getrennte Geräte, z.B. Ihren Computer für das Online-Banking und das Tablet für den Empfang der TANs. Wählen Sie zudem ein langes und sicheres Passwort für das Einloggen in die pushTAN-App. Benutzen Sie am besten eine Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Wichtig ist auch, dass Sie Ihr mobiles Gerät auf dem aktuellsten Stand halten und Sicherheits-Apps zum Schutz vor Trojanern benutzen. Wenn Sie diese Tipps befolgen, ist das pushTAN-Verfahren relativ sicher.
Das photo-TAN- oder QR-TAN-Verfahren wird als verhältnismäßig sicher bezeichnet. Ein als TAN-Generator genutztes Smartphone birgt allerdings ein gewisses Risiko, da es mit Schadsoftware befallen sein kann. Ein separates Lesegerät ist deswegen bei diesem Verfahren sicherer.
TAN-Generatoren ohne Bankkarte gelten ebenfalls als weitestgehend sicher. Ein Risiko ist der Verlust des Gerätes. Das derzeit sicherste Verfahren sind Generatoren, welche die Transaktionsnummer in Verbindung mit der Bankkarte erzeugen. Diese Geräte stehen nicht mit dem Internet oder dem Mobilfunknetz in Verbindung und enthalten selbst keine sensiblen Daten. Fragen Sie bei Ihrer Bank nach diesem Verfahren.
Wie kann ich mich vor Betrug schützen?
Dazu haben wir für Sie die Checkliste Sicheres Online-Banking vorbereitet, in der leicht verständlich erklärt wird, wie Sie die Sicherheit Ihres Online-Bankings in nur wenigen Minuten deutlich erhöhen.
Zusätzlich sind hier einige Sicherheitsmaßnahmen, die Sie unabhängig vom verwendeten TAN-Verfahren umsetzen können:
- Schutz von Computer und Smartphone durch aktuelles Antivirenprogramm und Firewall
- regelmäßige Installation von Software-Updates für alle Programme
- keine Nutzung von fremden Computern oder öffentlichen WLAN-Netzen für das Online-Banking
- kein Aufrufen der Banken-Website über Links in (unbekannten) E-Mails
- auf die Sicherheitsverbindung „https://“ vor dem Link achten
- Überprüfung der Überweisungsdaten vor Auftragsbestätigung
- zeitnahes Prüfen der Kontoauszüge
- Vereinbaren eines Überweisungslimits
Tipp
Falls Sie eine E-Mail erhalten, die angeblich von Ihrer Bank kommt, klicken Sie keine Links an, öffnen oder speichern Sie keine Anhänge und geben Sie keine TANs preis. Seien Sie sicher: keine Bank verlangt solche Aktionen von ihren Kunden.
Fazit
Bezüglich der Sicherheit der einzelnen TAN-Verfahren ist nicht nur die Technik entscheidend, sondern vor allem die Sorgfalt des Nutzers. Wählen Sie die Methode aus, deren Sicherheitsanforderungen Sie erfüllen können. Das Risiko für Schäden ist zwar relativ gering, aber ein hundertprozentig sicheres TAN-Verfahren gibt es nicht und wird es in nächster Zukunft nicht geben, da auch Betrüger stetig ihre Methoden anpassen.
Auf kontofinder.de finden Sie zu allen Angeboten unter „weitere Angaben“ auf den Kontodetail-Seiten den Hinweis, welches TAN-Verfahren die jeweilige Bank unterstützt. Werfen Sie einen Blick in unseren Girokonto-Vergleich, klicken Sie dort auf „Details+“ unterhalb des Logos. Auch hier finden Sie alle Transaktionsbestätigungsverfahren aufgeführt.
Ihre Kommentare zu diesem Beitrag
Wenn man bei mTAN "Sicherheitslücken in Smartphones" anführt, was gilt dann erst für Smartphone-Banking? Smartphone-Banking scheint da in Bezug auf Sicherheit äquivalent zu altem Online-Banking mit PIN. Ein Kanal, ein Gerät, getragen vom Prinzip Hoffnung, dass das Smartphone OS irgendwie sicherer als Windows und Co. sei und nicht so leicht kompromittiert werden könne. Unverständlich im Vergleich, dass dann beim mTAN komplexe (und daher eher hypothetische Angriffsszenarien) wie Zweit-SIM als Argument ins Feld geführt werden: Nicht nur muss ein Angreifer die Mobilnummer herausfinden, die Zweit-SIM muss auch noch auf dem Postweg abgefangen werden. Kein Anbieter schickt Zweit-SIMs an abweichende Adressen.
Sie sagen, "Bei den iTAN-Listen lässt sich die TAN nicht an die Auftragsdaten binden. Auch das Zwei-Wege-Prinzip, wonach der Datentransport nicht nur über das Internet, sondern auch über einen zweiten Kanal erfolgt, ist hier nicht gegeben. ". das Erste lässt man gelten, aber wenn im Falle von iTAN einmal Internet und einmal deutsche Post (für die TAN-Listen) nicht "getrennte Wege" sind, dann fresse ich ein Besen. Und bei Push-TAN soll das zwei-Wege Prinzip eingehalten sein???
"Das photo-TAN- oder QR-TAN-Verfahren wird als verhältnismäßig sicher bezeichnet." . Würde ich gerne verwenden, aber gibt es denn kein einziges Gerät, dass man bei verschiedenen Banken verwenden kann?? Und dass bei Kosten, die grob geschätzt zwischen 30€ und 90€ pro Gerät liegen!
Antwort vom Kontofinder Team
Vielen Dank für Ihren Hinweis zum iTAN-Verfahren. Ich habe den entsprechenden Abschnitt entfernt. Bei Push-TAN empfiehlt es sich, zwei Geräte zu benutzen, d.h. z.B. auf dem Notebook ins Online-Banking einloggen und dann den Auftrag auf dem Smartphone bestätigen. Natürlich geht das Push-TAN auch allein auf dem Smartphone.
Es gibt zum Beispiel den REINER SCT tanJack photo QR und Chip chipTAN Tan Generator. Dieser unterstützt Sparkassen, VR-Banken, DKB, GLS Bank, BW-Bank und noch einige genossenschaftliche Banken. Leider werden aber nicht z.B. ING, Deutsche Bank, Comdirect oder die Commerzbank unterstützt.
Wie sagte doch einst Obama: Bequemlichkeit, Freiheit und Sicherheit stehen miteinander in Konkurrenz.
Viel interessanter ist die Bedienbarkeit statt Sicherheit: Bei welcher Bank kann ich wenigsten die Umsätz ansehen, ohne mehrfach Passwörter. Kennungen in eine App und die Keyphrases eingeben zu müssen? 1822 wäre so ein Kandidat, der die 90 Tages Regel aus PSD2 verwendet.