21. Februar 2017

Sicheres Online-Banking mit TAN

© SFIO CRACHO/Shutterstock.com
Nur noch knapp ein Jahr, dann dürfte die Papier-TAN endgültig ausgedient haben. Denn ab Januar 2018 soll die Transaktionsnummer (TAN) auf Papier für Online-Banking aus dem Alltag verbannt werden. Das sieht die überarbeitete Zahlungsdiensterichtlinie der EU vor.

Früher war es sehr einfach: Wer seine Rechnungen per Online-Banking begleichen wollte, hatte eine TAN-Liste aus Papier neben sich. Hatte man eine TAN benutzt, strich man sie durch. Mehr Ordnung und auch mehr Sicherheit brachte die iTAN-Liste. Mit ihr waren die Transaktionsnummern nummeriert, und zu jedem Vorgang wurde eine ganz bestimmte TAN abgefragt. Dabei spricht man von der indizierten TAN oder kurz gesagt von der iTAN. Die überarbeitete Zahlungsdiensterichtlinie verlangt von einer TAN jetzt noch mehr: „Die Transaktionsnummer muss auch dynamisch und verschlüsselt sein“, erklärt Julia Topar, Pressesprecherin beim Bundesverband deutscher Banken. Das ist mit einer bereits ausgedruckten Liste allerdings nicht zu bewerkstelligen. Darum dürfen diese ab Januar 2018 nicht mehr ausgegeben werden.

Sicherheit fürs Smartphone

Um eine individuelle und dynamische TAN zu bekommen, gibt es verschiedene Möglichkeiten. Welche Methode eine Bank einsetzt, ist ihr überlassen. Manche Banken bieten auch mehrere Möglichkeiten an. „Sicher sind sie alle“, sagt Julia Topar. Das Problem seien oft eher Sicherheitslücken in der Infrastruktur des Kunden. Wenn er sich für Online-Banking entscheidet, unterschreibt er zwar, dass er sein System sicher halten wird. Doch es kommt immer wieder vor, dass Software nicht aktualisiert wird, oder dass die Firewall ausgeschaltet beziehungsweise der Virenscanner veraltet ist. „Es weiß auch nicht jeder Verbraucher, dass man das Smartphone mit der gleichen Sicherheitssoftware ausstatten sollte, wie den Computer“, sagt Topar. Speziell Android-Geräte sollten einen Virenschutz haben, da für sie besonders viele Schädlinge im Umlauf sind.

Folgen von Sicherheitslücken beim Online-Banking

Auch Ralf Scherfling aus dem Finanzenteam der Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, dass, wer Online-Banking macht, Virenscanner und Firewall nutzen muss. Sie sollten wie auch das Betriebssystem und der Internetbrowser immer auf dem aktuellen Stand sein. „Wer das nicht macht, läuft Gefahr, einen Virus oder ein trojanisches Pferd, umgangssprachlich besser bekannt als Trojaner, auf den Computer zu bekommen“, sagt Scherfling. Im Zweifelsfall würden sonst statt 50 Euro 500 oder 5000 oder eine noch höhere Summe überwiesen – allerdings nicht an den gewünschten Adressaten, sondern auf ein Konto eines Betrügers.


verbrauchertipp: Die großen Hersteller von Software zum Schutz des Computers bieten auch für die mobilen Geräte entsprechende Lösungen an. Einige Hersteller haben auch Pakete im Angebot, die PC, Tablet und Smartphone schützen. Von Avira und AVAST gibt es für iOS und Android ein kostenlose Angebote.


SMS-TAN, TAN-Generator oder Foto-TAN

Sind Smartphone und Computer sicher, ist der Weg frei für Online-Banking. Allerdings gibt es viele Möglichkeiten, um eine TAN zu generieren. Als Kunde hat man dabei in der Regel keine Wahl, denn die Bank gibt die TAN-Form vor.

Ein Überblick

  1. Bei einigen Banken wird automatisch eine SMS ausgelöst, sobald man an einem bestimmten Punkt der Überweisung angekommen ist – beispielsweise bei der ING-DiBa. Bei der Targobank dagegen gibt es zwar auch eine mobileTAN, der Kunde hat aber noch die Wahl, ob er seine iTAN nutzt oder eine TAN aufs Handy anfordert. In beiden Fällen kommen die TANs per SMS. Der Kunde tippt sie ab und beendet den Vorgang – und schon ist die Rechnung beglichen. Je nach Kreditinstitut kann das Verfahren den Kunden Geld kosten. Manche Banken übernehmen jedoch die Kosten auch ganz. Fragen Sie zur Sicherheit bei der Bank nach.
  1. Für einige Banken benötigt man einen sogenannten Generator. Dabei hat der Kunde viele Auswahlmöglichkeiten. Im Sparkassen-Shop beispielsweise kosten sie um die 11 Euro. Ein Generator mit Sprachausgabe für Menschen mit Sehschwäche gibt es für rund 55 Euro. Zusätzlich gibt es unterschiedliche Möglichkeiten, je nach Gerät einen Transaktionscode zu generieren: Entweder steckt man seine Karte ein und bekommt eine Nummer angezeigt. Oder man muss die Karte einstecken und den Generator an ein sogenanntes Flimmerbild am Monitor halten, um so eine TAN auf das Gerät zu bekommen. Anders geht es zum Beispiel bei RaboDirect: Dort hat man eine Personal Identification Number (PIN), also eine   Geheimzahl für den Generator. Will man eine Überweisung bestätigen, muss man zunächst die PIN für das Gerät eingeben. Dann aktiviert man den sogenannten Digitalpass, wie es auf der Homepage beschrieben wird. Jetzt muss  man eine Nummer eingeben, die die Homepage vorgibt, und bekommt schließlich auf dem Generator eine Nummer  angezeigt, die man nun auf der Homepage eingibt. Wird die TAN per Generator erzeugt, spricht man übrigens von  einer ChipTAN.
  1. Die Commerzbank beispielsweise arbeitet mit einer Foto-TAN. Dabei installiert man sich die App der Bank auf dem Smartphone und klickt die Schaltfläche „scannen“. Damit wird nun eine entsprechende Grafik gescannt und anschließend eine Nummer angezeigt, die zur Überweisung eingegeben wird.
  1. Bei anderen Banken wie der DKB benutzt man ebenfalls die bankeigene App. Dort muss man sich einloggen und bekommt im Anschluss eine Nummer angezeigt, die man am Computer eintippt. Dieses Verfahren nennt sich PushTAN. Die App gibt es teilweise auch für den Computer – für diejenigen, die Online-Banking ohne die Verwendung des Smartphones durchführen möchten.

Immer nochmals kontrollieren

Mit der mobileTAN, also der TAN per SMS aufs Handy, werden zusätzlich Informationen zur Überweisung verschickt: Welchen Betrag überweisen Sie gerade an welches Konto? Es ist wichtig, diese Informationen nochmals zu kontrollieren.


verbrauchertipp: Prüfen Sie bei jeder Überweisung, ob das angegebene Konto und der Betrag mit dem übereinstimmen, was in der SMS steht. Ist das nicht der Fall, brechen Sie den Vorgang ab.


Verbraucherschützer Scherfling warnt außerdem davor, SMS-TANs zu benutzen, wenn man das Smartphone mit dem PC verbindet. Dann beispielsweise könnte nämlich ein Trojaner vom Computer auf das mobile Gerät überspringen, und dann hilft im Zweifelsfall auch der Kontrollblick auf die SMS-TAN nichts mehr.

Noch sicherer sind Bankgeschäfte, bei denen die TAN mit dem Generator erzeugt wird. „Der TAN-Generator lässt sich nicht von außen manipulieren“, sagt Ralf Scherfling. „Darum ist dieses Verfahren im Moment das sicherste“, fügt er hinzu. „Denn um hierbei an mein Geld zu kommen, benötigen die Betrüger nicht nur meine Online-Banking-Zugangsdaten, sondern auch meine Girokarte.“ Das jedoch ist nur schwer möglich. Doch auch dabei gilt: Der Kontrollblick auf die Anzeige ist zwingend notwendig, bevor man die Überweisung bestätigt. „Stimmen die Summe und der Adressat nicht überein, sollte man den Vorgang abbrechen.“

Cover der aktuellen Ausgabe von Verbraucherblick

Mehr wissen,
besser entscheiden

verbraucherblick ist ein digitales Magazin für alle, die mehr wissen wollen. Lesen Sie monatlich detaillierte und unabhängige Berichte über für Sie relevante Verbraucherthemen.