Welches TAN-System ist am sichersten?

Inhaltsverzeichnis

1. Kann man iTAN heutzutage noch bedenkenlos nutzen?
2. Ist die Nutzung von chipTAN sicher und komfortabel?
3. Ist die Sicherheit von mTAN ausreichend?
4. Warum ist pushTAN die sicherste Lösung?
5. Welche Gefahren gibt es generell beim Online-Banking?
6. Kein TAN-Verfahren verspricht absolute Sicherheit

Wir haben Ihnen auf bezahlen.de bereits alle wichtigen TAN-Systeme vorgestellt. Das sind konkret die folgenden:

Dabei bieten alle TAN-Systeme Vorteile sowie Nachteile (siehe unten). Zwar gibt es teilweise ein Missverhältnis, doch auch ältere und weniger sichere Systeme werden auch weiterhin rege genutzt. Gerade deshalb wollen wir Ihnen in diesem Ratgeber noch einmal aufzeigen, welche TAN-Systeme Sie lieber nicht nutzen sollten und wo Sie sich auf eine höhere Sicherheit freuen dürfen. Es gibt zwar keine perfekte Lösung, aber Sie können Ihre Sicherheit beim Online-Banking durch die Nutzung des richtigen Online-Banking-Systems in jedem Fall stark erhöhen.

Kann man iTAN heutzutage noch bedenkenlos verwenden?

Als das Online-Banking in Deutschland an Relevanz gewann, ging anfangs alles nur mit sogenannten TAN-Listen. Einstmals war entsprechend sogar noch die Rede vom „normalen TAN-Verfahren“ – es gab schlichtweg keine andere Alternative. Dass das System heute iTAN genannt wird, hat einen entscheidenden Grund: Die TAN-Listen wurden über die Jahre durchaus weiterentwickelt, da die fehlende Sicherheit des Systems sich schnell als Problem herausgestellt hat. Im Vergleich zu indizierten TAN-Listen (iTAN) waren die historischen TAN-Listen schlichtweg eine lange Liste mit Nummern. Bei einer indizierten TAN-Liste hat jede TAN dagegen eine Kennzahl, die wiederum konkret im Online-Banking abgefragt wird.

Das große Problem alter TAN-Listen war, dass auf Grund der fehlenden Nummerierung jede TAN der Liste für eine beliebige Transaktion verwendet werden konnte. Dadurch wurde das Missbrauchsrisiko enorm erhöht, da Betrüger mit einer einzigen TAN der Liste einen großen Schaden anrichten konnten. Bei den indizierten TAN-Listen, die schnell zum Standard wurden, ist bzw. war das anders. Hier wird bei einer Transaktion im Online-Banking eine konkrete Nummer abgefragt. Beispielsweise müssen Sie die sechsstellige TAN nach der Ziffer 65 eingeben, um die Transaktion zu bestätigen. Ein Betrüger müsste also konkret diese TAN haben, um Schaden anrichten zu können.

Dennoch würden wir Ihnen von der Verwendung von iTAN heutzutage eher abraten. Wenngleich aktuell noch immer fast ein Fünftel der deutschen Bevölkerung TAN-Listen nutzt, ist das Verfahren im Vergleich zu den anderen TAN-Verfahren schlichtweg weniger sicher. Sofern die TAN-Liste in die Hand von Betrügern gerät, entweder physisch oder als Foto, kann ein großer Schaden angerichtet werden. Dadurch, dass eine TAN-Liste zudem Dutzende TANs enthält, können in einem solchen Fall auch gleich zahlreiche Transaktionen durchgeführt werden. Auch Phishing-Angriffe sind bei TAN-Listen deutlich einfacher als bei anderen TAN-Verfahren. Wenngleich iTAN zweifelsfrei eine Weiterentwicklung ist, ist das System in Bezug auf die Sicherheit nicht wirklich empfehlenswert. Wenn Sie in unserem Girokontovergleich ein neues Konto eröffnen, sollten Sie daher Abstand von diesem TAN-Verfahren nehmen (Stand: 09/2017).

Ist die Nutzung von chipTAN sicher und komfortabel?

Viele deutsche Banken, darunter besonders die Genossenschaftsbanken, werben mit dem System chipTAN. Dieses wird immer wieder auch als eTAN (elektronische TAN) bezeichnet. Für die Verwendung von chipTAN müssen Sie erst einmal ein wenig Aufwand betreiben, denn Sie brauchen insgesamt die folgenden drei Dinge:

Das heißt, dass Sie deutlich mehr Aufwand haben als beispielsweise mit einer TAN-Liste. Möglicherweise erinnern Sie sich auch noch an das klassische eTAN-Verfahren, bei dem Sie keine Bankkarte benötigt haben. Damit konnten Sie mit einem TAN-Generator einfach eine passende TAN generieren – ohne die Karte dafür zu brauchen. Dies hat sich allerdings als anfällig für Hackerangriffe erwiesen, weswegen das System überarbeitet wurde. Mittlerweile nutzen Sie also in nahezu allen Fällen das offiziell als eTAN plus-Verfahren bekannte TAN-System. Dieses wird in der Umgangssprache dennoch immer noch als eTAN- oder neu als chipTAN-Verfahren bezeichnet.

Die Sicherheit wird bei eTAN als relativ hoch eingeschätzt, besonders seit das plus-Verfahren zum Standard geworden ist. Grundsätzlich liegt das daran, dass Sie insgesamt drei verschiedene Dinge benötigen. Ein Betrüger kann beispielsweise selbst dann, wenn er in Ihr Online-Banking kommt und einen TAN-Generator hat, keinen Schaden anrichten. Vielmehr benötigt er in diesem Fall auch noch die physische Bankkarte. Gerade das macht den Missbrauch beim chipTAN-Verfahren so schwierig und unwahrscheinlich. Reine Online-Hacker haben nur sehr geringe Chancen, Ihnen bei der Nutzung von eTAN ein Schnippchen zu schlagen. Nur bei einem gleichzeitigen Diebstahl der Bankkarte wäre ein Missbrauch möglich – das wiederum ist sehr unwahrscheinlich. Grundsätzlich lässt sich also zusammenfassen, dass chipTAN Ihnen eine sehr hohe Sicherheit bietet (Stand: 09/2017).

Gleichzeitig ist das Verfahren aber auch ein wenig umstritten. Das liegt weniger an der Sicherheit, sondern mehr an der Praktikabilität. Bei der Verwendung von chipTAN müssen Sie immer drei Geräte gleichzeitig parat haben und sich zudem mit einem etwas komplexen System herumschlagen. Wenn Sie eine Transaktion durchführen, wird Ihnen meist ein sich bewegender Strichcode angezeigt, den Sie mit dem TAN-Gerät einlesen müssen. Dabei sind der richtige Winkel und eine bestimmte Helligkeit zwingend erforderlich. Oft bricht die Verbindung dennoch ab, was die Transaktionen unnötig kompliziert und langwierig macht. Es gibt zwar einige Tricks, die man nach einigen Malen Nutzung sicherlich kennt, dennoch ist das chipTAN-Verfahren auf Grund seiner etwas unpraktischen Handhabung nicht sonderlich beliebt. Wenn es Ihnen aber um hohe Sicherheit geht, ist eTAN für Sie zweifelsfrei eine gute Variante zur Nutzung des Online-Bankings.

Ist die Sicherheit von mTAN ausreichend?

Heutzutage am häufigsten genutzt wird beim Online-Banking das sogenannte mTAN-Verfahren. Dass auch als Mobile TAN oder SMS-TAN bekannte Verfahren hat in den vergangenen Jahren immer mehr an Beliebtheit gewonnen. Der entscheidende Vorteil dieses Systems ist zweifelsfrei die Einfachheit. Genauso wie beim Secure Code System der meisten Anbieter in unserem Kreditkatenvergleich ist zur Bestätigung einer Transaktion einzig die Eingabe einer TAN notwendig, die per SMS an eine hinterlegte Nummer gesendet wird.

Das mTAN-Verfahren anhand eines Videos erklärt:

Auf Grund der Einfachheit ist das mTAN-Verfahren sehr verbreitet, doch das SMS TAN-Verfahren hat mittlerweile auch einige Kritiker. In den vergangenen Jahren ist es zu einigen Missbrauchsfällen gekommen. Deswegen ist mTAN noch nicht zwingend unsicher, aber es kommt laut Meinung der Bankenverbände bei der Sicherheit nicht an manch anderes TAN-Verfahren heran. Bei mTAN gibt es zumindest die eine oder andere Möglichkeit für Betrüger, potenziell an eine TAN für die Bestätigung von Transaktionen zu kommen.

Möglich ist das bei SMS-TAN unter anderem dadurch, dass das Smartphone entwendet werden kann. In diesem Fall gehen die SMS bis zur Sperrung der SIM-Karte an den Betrüger, der damit machen kann, was er will. Da allerdings zudem die Login-Daten für das Online-Banking vorliegen müssen, ist ein Missbrauch dieser Art sehr selten. Häufiger kommen da schon andere Missbrauchsfälle vor. Insgesamt gibt es sogar fünf potenzielle Betrugsmöglichkeiten:

• Angriff auf das Mobiltelefon (Smartphone)
• Angriff auf das Mobilfunk-Netz
• Angriff auf den Netzbetreiber
• Anforderung einer neuen oder zweiten SIM-Karte
• Portierung der Rufnummer

Gerade versierte Hacker tun sich wenig schwer, eine ideale Angriffsstelle auf das TAN-Verfahren zu finden. Zwar haben die meisten Systeme in Deutschland ein TÜV-Siegel, viele IT-Experten weisen aber darauf hin, dass mTAN dennoch keine 100-prozentige Sicherheit garantiert. Gefährlich sind beispielsweise Viren, die über E-Mails oder Webseiten verbreitet werden und direkt das Smartphone angreifen. Wenn dieses nicht nur für SMS-TAN, sondern auch für das Online-Banking genutzt wird, ist die Sicherheit akut gefährdet. Verschiedene Trojaner waren dabei in den vergangenen Jahren im Umlauf.

Ebenfalls gefährlich sind generelle Angriffe auf Mobilfunknetze oder Betreiber, bei dem Hacker SMS abfangen. Dies ist allerdings technisch deutlich komplexer, da die Netze in Deutschland relativ gut gesichert sind. Auch hier warnen IT-Experten, dass ein Angriff durchaus möglich und für versierte Hacker auch machbar ist. Noch problematischer sind die Möglichkeiten zur Anforderung einer zweiten SIM-Karte oder einer Rufnummernportierung. Für diese Schritte sind bei den meisten Mobilfunkanbietern nur sehr wenige Daten notwendig. Entsprechend einfach ist es für Betrüger, eine Telefonnummer eines Nutzers des Online-Bankings in die Hände zu bekommen. Zwar merken die meisten Verbraucher dies sehr schnell, doch in der Zwischenzeit kann bereits ein Schaden entstanden sein. Gerade diese Gefahr kritisieren viele Experten.

Schlussendlich gibt es bei der Nutzung von mTAN zwar so einige Gefahren, doch generell sollte man das SMS-TAN-Verfahren nicht verteufeln. Immerhin wird das System von den meisten Deutschen beim Online-Banking genutzt, fast immer ohne jegliche Probleme. Die theoretischen Gefahren haben sich in Deutschland bislang kaum bis überhaupt nicht materialisiert. Ein wenig Vorsicht schadet bei der Verwendung des mTAN-Verfahrens allerdings dennoch nicht (Stand: 09/2017).

Warum ist pushTAN die sicherste Lösung?

Wer erstmals von pushTAN hört, der fragt sich oft, warum gerade dieses TAN-Verfahren eines der sichersten aller Verfahren sein soll. Immerhin benötigt man für pushTAN nur ein einziges Gerät, entweder ein Tablet oder ein Smartphone. Bei den anderen TAN-Verfahren wird zusätzliche Sicherheit dagegen allen voran dadurch hergestellt, dass mehrere Geräte im Spiel sind. Bei pushTAN, auch App-TAN genannt, spielt der technische Fortschritt allerdings eine wichtige Rolle. Die Technologie beruht nämlich auf einer getrennten Verschlüsselung von Transaktion im Online-Banking und bei der Zusendung der TAN.

Sobald ein Nutzer eine Transaktion im Online-Banking durchführt, kann er danach die entsprechende App für die Generierung einer TAN öffnen. Dort erscheint dann die TAN (alternativ auch per Push-Benachrichtigung, daher der Name pushTAN), die wiederum in der App für das Online-Banking eingegeben werden kann. Dabei gibt es zwischen den Apps teilweise automatische Verbindungen, sodass ein unnötiges Öffnen und Schließen der Apps nicht notwendig ist. Was im ersten Moment nicht sicher klingt, ist es durch die doppelte Verschlüsselung und die kurze Gültigkeit der jeweiligen TAN aber dennoch. Selbst wenn ein Trojaner auf das Smartphone zugreift, ist ein Missbrauch der Transaktion nahezu unmöglich, da der Virus nicht in die verschlüsselte Umgebung eindringen kann. 

Dadurch fallen beim App-TAN-Verfahren die klassischen Gefahren des Online-Bankings weg. Es ist für Betrüger nicht möglich, die TAN auf dem Weg zum Endgerät abzugreifen, da das Mobilfunknetz nicht beteiligt ist. Zudem macht die doppelte Verschlüsselung einen Missbrauch durch einen Virus nahezu unmöglich. Eine gewisse Vorsicht ist aber dennoch geboten, denn bei einem physischen Diebstahl des Smartphones besteht auch beim pushTAN-Verfahren eine gewisse Gefahr. Dabei müsste der Betrüger aber noch immer die Login-Daten des Online-Bankings kennen (Stand: 09/2017).

Welche Gefahren gibt es generell beim Online-Banking?

Bedenken sollten Sie immer, dass kein TAN-Verfahren hundertprozentige Sicherheit garantiert. Wenngleich der technische Fortschritt durchaus für sich spricht und moderne Verfahren wie chipTAN und pushTAN Ihnen eine hohe Sicherheit versprechen, besteht immer eine gewisse Gefahr (siebe oben). Diese ist in Deutschland zwar eher minimal, dennoch sollten Sie beim Online-Banking immer mit größtmöglicher Vorsicht vorgehen. Dazu gehört allen voran, Login-Daten oder andere relevante Informationen rund um Ihr Online-Banking nie aufzuschreiben oder mitzuführen. Die Unterlagen sollten für niemanden außer Ihnen selbst zugänglich sein – egal, ob es um ein geschäftliches oder ein privates Konto geht. Auch heute geschehen viele Missbräuche rund um das Online-Banking, weil die entsprechenden Daten auf physischem Wege gestohlen oder ausgespäht werden.

Darüber hinaus besteht eine weitere grundlegende Gefahr in sogenannten Man-in-the-middle-Angriffen. Was nach Science-Fiction klingt, lässt sich recht leicht erklären: Bei dieser Art von Angriffen versucht sich ein Betrüger zwischen die Bank und den Kunden zu drängen und gaukelt beiden Seiten vor, die jeweils andere zu sein. Genutzt werden diese Angriffe beispielsweise, um Überweisungen umzuleiten. Der Verbraucher bekommt davon nichts mit, weil er denkt seine normale Überweisung durchzuführen. Die Bank denkt, dass der Kunde die missbräuchliche Überweisung „wünscht“. Da auch Hacker sich immer weiter entwickeln, raten Experten dazu, die Überweisungsdaten immer genau zu überprüfen.

Bei jedem TAN-Verfahren sehen Sie vor der finalen Bestätigung noch einmal alle Daten zur Transaktion. Nur wenn diese zu einhundert Prozent korrekt sind, sollten Sie die Überweisung auch schlussendlich durchführen. Dabei sollten Sie sich immer mindestens 30 Sekunden Zeit nehmen, um noch einmal alle Zeilen zu prüfen. Hektik ist eine der größten Gefahren beim Online-Banking. Egal welches TAN-Verfahren Sie nutzen, ein Maximum an Sicherheit erreichen Sie nur dann, wenn Sie auch aufmerksam vorgehen und das Online-Banking wie Bargeld behandeln – mit höchstmöglicher Sorgfalt (Stand: 09/2017).

Kein TAN-Verfahren verspicht absolute Sicherheit

Egal welchen Experten man fragt, die Antwort ist immer dieselbe: Einhundertprozentige Sicherheit gibt es nicht. Wenn Sie sich in unserem Girokontovergleich nach einer neuen Bank mit einem guten Produkt umsehen, sollten Sie dennoch auf die Wahl des richtigen TAN-Verfahrens achten. Die höchste Sicherheit versprechen aktuell pushTAN und chipTAN, auf iTAN und alte TAN-Listen sollten Sie dagegen auf jeden Fall verzichten. Darüber hinaus gilt es zum Thema Sicherheit noch zu sagen, dass Sie einfach immer die notwendige Sorgfalt mitbringen sollten – dann geht beim Online-Banking auch nichts schief und Betrüger haben keine Chance.