Wie funktioniert das eTAN-Verfahren und ist es sicher?

Inhaltsverzeichnis

1. Wie genau funktioniert eTAN?
   
   • Wie sieht ein TAN-Generator aus?
   • Was sind die Vorteile des eTAN-Verfahrens?
   • Was sind die Nachteile des eTAN-Verfahrens?
2. Wie steht es um die Sicherheit von eTAN und eTAN plus?
3. Sollte ich lieber eTAN oder eTAN plus nutzen?
4. Welche Alternativen gibt es zum eTAN-Verfahren?
5. Die Verwendung von eTAN ist empfehlenswert

Wenn Sie an das eTAN-Verfahren denken, sollte Ihnen zuerst der Begriff TAN-Generator in den Sinn kommen. Dieser nämlich ist das Herzstück des eTAN-Verfahrens. Die moderne Technologie gilt auf Grund des Generators auch als sicherer als das veraltete iTAN-Verfahren und das mTAN-Verfahren, das von Betrügern unter Umständen geknackt werden kann. Doch eTAN ist gleichzeitig auch sehr kompliziert und wird von vielen Bankkunden entsprechend nur ungern genutzt. In diesem Ratgeber wollen wir Ihnen zeigen, was für und was gegen die Nutzung von eTAN spricht. Zudem wollen wir Ihnen zeigen, was eTAN plus ist und warum das System eine höhere Sicherheit als andere TAN-Systeme bietet.

Wie genau funktioniert eTAN?

Das klassische eTAN-Verfahren kommt heute nur noch selten zum Einsatz. Häufiger wird mittlerweile das offiziell als eTAN plus-Verfahren bezeichnete System genutzt. Für die Verwendung sind dabei grundsätzlich drei verschiedene Geräte notwendig:

Beim klassischen eTAN-Verfahren ist eine Bankkarte dagegen nicht zwingend erforderlich. Hier liegt auch der entscheidende Unterschied zwischen der alten und der neuen Variante. Besonders für die neue Variante hat sich alternativ auch der Begriff chipTAN etabliert. Sollte Ihre Bank das Verfahren noch nicht anbieten, empfehlen wir Ihnen einen Blick auf unseren Girokontovergleich. Dort finden Sie viele Anbieter, die Ihnen gute Konditionen und moderne Sicherheitssysteme beim Online-Banking bieten.

Wir wollen Ihnen hier zuerst die Funktionsweise des herkömmlichen eTAN-Verfahrens erklären. Bei diesem sind Sie nur auf den TAN-Generator und das Endgerät, auf dem Sie eine Transaktion durchführen, angewiesen. Sie führen also beispielsweise an Ihrem Computer eine Überweisung im Online-Banking durch. Dabei werden Sie nach der Eingabe Ihrer Daten darum gebeten, den TAN-Generator an den Bildschirm zu halten. Über einen sich ändernden Code (eine Art Flickergrafik) kann der TAN-Generator vom Bildschirm alle relevanten Daten auslesen. Danach zeigt der Generator Ihnen noch einmal alle wichtigen Transaktionsdaten und generiert danach eine (meist) sechsstellige TAN. Diese können Sie dann wiederum an Ihrem Computer im Online-Banking eingeben, um die Transaktion zu bestätigen. Dabei sollten Sie auch am Computer noch einmal alle Transaktionsdaten bestätigen.

Beim modernen eTAN plus-Verfahren läuft die Transaktion nach einem ähnlichen Muster ab. Sie benötigen allerdings zusätzlich Ihre Bankkarte. Von Ihrer Bank erhalten Sie entsprechend auch nicht nur einen einfachen TAN-Generator, sondern vielmehr einen Kartenleser. Dieser ist technisch weiterentwickelt und kann nur zusammen mit einer Bankkarte genutzt werden. Eine Transaktion im Online-Banking mit dem eTAN plus-Verfahren führen Sie dabei fast genauso durch wie beim eTAN-Verfahren. Sie geben zuerst an Ihrem Computer oder einem mobilen Endgerät alle relevanten Daten ein und bestätigen diese dann. An dieser Stelle folgt der große Unterschied zwischen den beiden Systemen: Bevor Sie das Lesegerät an Ihren Bildschirm halten, um den Code (eine Art Flickergrafik) zu scannen, stecken Sie zuerst Ihre Bankkarte in das Lesegerät. Danach folgen die oben genannten Schritte: Der Generator liest die Daten aus, zeigt sie Ihnen und generiert dann eine passende TAN, die Sie wiederum im Online-Banking auf dem Computer oder einem mobilen Endgerät eingeben müssen.

Das chipTAN-Verfahren anhand eines Videos erklärt:

Wie sieht ein TAN-Generator aus?

Damit Sie eine Idee davon bekommen, wie das System funktioniert, wollen wir auch kurz darauf eingehen, wie ein TAN-Generator aussieht. Grundsätzlich sehen eTAN- und eTAN plus-Generatoren sehr ähnlich aus. Der Unterschied ist meist nur der Kartenschlitz, der bei dem Lesegerät zusätzlich verbaut ist. Ansonsten handelt es sich meist um ein kleines handliches Gerät, das wenige Gramm wiegt. Auf der Vorderseite finden Sie ein kleines, meist längliches Display auf der Oberseite und einen Zahlenblock darunter (diesen müssen Sie allerdings fast nie nutzen). An der Seite des Generators finden sich meist fünf grafische Sensoren, die dafür sorgen, dass der Generator die Flickergrafik im Online-Banking erkennen und so die entsprechenden Daten auslesen kann.

Was sind die Vorteile des eTAN-Verfahrens?

Das eTAN-Verfahren gilt als eine der sichersten Möglichkeiten, um Transaktionen im Online-Banking durchzuführen. Der entscheidende Vorteil liegt deshalb auch darin, dass Sie mit besonders hoher Sicherheit Überweisungen, Daueraufträge und sonstige Transaktionen bestätigen können. Positiv fällt beim eTAN-Verfahren besonders der herausragende Schutz gegenüber Phishing auf. Betrüger haben bei diesem System im Prinzip keine Möglichkeit, relevante Daten auszuspähen. Da alle Transaktionsdaten zudem auf zwei verschiedenen Geräten bestätigt werden müssen, ist ein Eingriff von außen nahezu unmöglich.

Hinzu kommt, dass Sie für das eTAN-Verfahren ein komplett externes Gerät nutzen, das nicht mit dem Internet verbunden ist. Der TAN-Generator beziehungsweise das Kartenlesegerät ist ein komplett autonomes Gerät, das in keiner direkten Verbindung mit Ihrem Bankkonto steht. Selbst wenn Sie Ihren Generator verlieren sollten, stellt dass entsprechend keinerlei Sicherheitsrisiko dar. Dadurch, dass das Gerät sich keine Daten merkt und nicht mit dem Internet verbunden ist, kann zudem niemand Ihre Transaktionsdaten ausspähen. Wenn Sie sogar eTAN plus verwenden, nutzen Sie den weiteren Vorteil einer dritten Verifizierung. Dass ein Betrüger gleichzeitig an einen passenden TAN-Generator, den Login für Ihr Online-Banking und Ihre Bankkarte kommt, ist mehr als unwahrscheinlich.

Was sind die Nachteile des eTAN-Verfahrens?

Der größte Nachteil von eTAN und besonders eTAN plus liegt in der geringen Praktikabilität des Systems. Gerade wenn Sie die moderne Variante nutzen, benötigen Sie immer drei "Geräte" (bzw. Dinge), um Transaktionen durchzuführen. Das ist gerade unterwegs sehr aufwendig, da Sie auch immer Ihren Generator und die Chipkarte dabeihaben müssen. Wenn Sie Ihr Lesegerät oder Ihre Chipkarte (nur bei eTAN plus) vergessen, können Sie keinerlei Transaktionen durchführen und sind je nach Dauer Ihrer Reise mehrere Tage bis Wochen vom Online-Banking abgeschnitten. Genauso problematisch ist natürlich ein Verlust Ihres TAN-Generators oder Ihrer Chipkarte. Je nach Bank kann der Ersatz (besonders bei der Chipkarte) länger als eine Woche dauern.

Dazu kommt, dass die Generatoren und Kartenlesegeräte ab und zu Probleme haben, den Code am Bildschirm zu scannen. Gerade wenn die Lichtverhältnisse nicht gut sind, dauert das Lesen des Codes oft lange und erfordert viele Versuche. Entsprechend unpraktisch ist die Verwendung von eTAN unterwegs. Hier ist das smsTAN-System zweifelsfrei die einfachere Variante. Doch selbst in den einheimischen vier Wänden kann das System teilweise schwierig sein. Sie müssen immer darauf achten, dass der Bildschirm Ihres Laptops, Tablets oder Smartphones auf höchster Helligkeit ist und den Generator dann in einem entsprechenden Winkel an den Bildschirm halten. Teilweise kann dieses Verfahren durchaus kompliziert und unangenehm langwierig sein.

Wie steht es um die Sicherheit von eTAN und eTAN plus?

Zwar gilt das eTAN-Verfahren grundsätzlich als sehr sicher, doch auch hier gibt es einige Gefahren, vor denen Sie sich schützen sollten. So sollten Sie allen voran auf die Hardware achten. Sofern Sie das eTAN plus-Verfahren nutzen, sollten Sie auf keinen Fall den Generator und Ihre Bankkarte gemeinsam aufbewahren. Sollte ein Betrüger die Karte und den Generator in die Hände bekommen, könnte er damit Transaktionen durchführen – sofern er zugleich auch Zugriff auf Ihr Online-Banking hat. Das ist zwar unwahrscheinlich, stellt aber dennoch eine Gefahr dar. Gerade bei Einbrüchen kann es gefährlich werden, wenn Sie alle relevanten Dokumente und Geräte zusammen aufbewahren. Findet ein Einbrecher in Ihrem Büro beispielsweise die Login-Daten für das Online-Banking und den TAN-Generator, kann er theoretisch bereits problemlos Transaktionen durchführen – sofern Sie denn noch auf das alte eTAN-Verfahren setzen.

Beim modernen eTAN plus-Verfahren ist die Sache etwas anders. Hier benötigt ein Betrüger zusätzlich immer auch die Chipkarte, die Sie generell immer bei sich tragen sollten. Selbst wenn der Generator unterwegs geklaut werden sollte oder Sie ihn verlieren, wäre das kein großes Problem. Der Generator per se hat für Betrüger keinen Wert und kann günstig ersetzt werden. Einzig in Kombination mit einer Chipkarte (nur bei eTAN plus) und dem Login für das Online-Banking ist ein Verlust wirklich gefährlich.

Trotz der hohen Sicherheitsstandards von eTAN sollten Sie zudem dennoch vorsichtig agieren. In der Vergangenheit ist es Betrügern beispielsweise gelungen, sich in die Verbindung zwischen Bank und Lesegerät zu hacken. Das ist zwar sehr unwahrscheinlich, aber zumindest theoretisch möglich. Prüfen Sie daher unbedingt die genauen Transaktionsdetails auf Bildschirm und Lesegerät. Weiterhin ist es wichtig, dass Sie genau schauen, ob es sich bei der Online-Banking-Seite auch tatsächlich um ihre eigene Bank handelt. Betrüger haben in der Vergangenheit versucht, durch täuschend echt nachgebaute Webseiten Transaktionen zu manipulieren. Prüfen Sie deshalb jedes Mal, ob Sie sich im echten Online-Banking Ihres Bankinstituts befinden und brechen Sie eine Transaktion immer ab, wenn Sie sich unwohl fühlen.

Sollte ich lieber eTAN oder eTAN plus nutzen?

Sie können nur bei den wenigsten Banken zwischen eTAN und eTAN plus wählen. Vielmehr bieten die meisten Institute mittlerweile automatisch eTAN plus an. Gerade deshalb wird der Begriff eTAN mittlerweile hauptsächlich für das weiterentwickelte System verwendet. Das ist auch gut so, denn eTAN plus bietet Ihnen zusätzliche Sicherheit, da ein Betrüger zwingend auch noch Ihre Chipkarte benötigt, um eine Transaktion durchzuführen. Das wiederum ist äußerst unwahrscheinlich. Gerade deshalb gilt eTAN plus auch als eines der sichersten TAN-Verfahren überhaupt. Sofern Sie noch das normale eTAN-Verfahren nutzen, empfehlen wir Ihnen bei Ihrer Bank anzufragen, ob ein Wechsel möglich ist. Anfangs ist das neue System zwar etwas aufwendiger, die zusätzliche Sicherheit ist den Zusatzaufwand aber zweifelsfrei wert.

Welche Alternativen gibt es zum eTAN-Verfahren?

Lässt man das veraltete und nicht mehr sichere iTAN-Verfahren (TAN-Listen) außen vor, gibt es in Deutschland drei wichtige TAN-Verfahren:

Das mTAN-Verfahren ist eine interessante Alternative zu eTAN. Das „m“ steht dabei für Mobile. Sie benötigen entsprechend ein Mobiltelefon zur Nutzung dieses TAN-Verfahrens. Dabei müssen Sie allerdings nicht zwingend ein besonders modernes Telefon haben. Für die Nutzung von mTAN ist nämlich kein Smartphone vonnöten. Vielmehr funktioniert mTAN, wie auch der oft synonym verwendete Begriff smsTAN zeigt, über SMS. Sobald Sie sich für mTAN angemeldet und verifiziert haben, erhalten Sie zur Bestätigung Ihrer Transaktionen im Online-Banking eine TAN direkt auf Ihr Smartphone gesendet. Mit dieser TAN können Sie die Transaktion dann im Online-Banking bestätigen. Besonders ist an diesem Verfahren, dass Sie in der SMS nicht nur die TAN, sondern auch noch einmal alle Daten zur Transaktion erhalten. Dadurch sehen Sie sofort, ob alle Daten auch weiterhin korrekt sind – Man-in-the-middle-Attacken werden so äußerst unwahrscheinlich. Praktisch ist mTAN auch deshalb, weil Sie Ihre Transaktionen im Prinzip weltweit bestätigen können. Überall, wo Sie Zugriff auf das Online-Banking, Ihr Smartphone und Handyempfang haben, können Sie problemlos und einfach Transaktionen durchführen.

Bei pushTAN handelt es sich um eine TAN-Lösung, für die Sie zwingend ein Smartphone benötigen. Generell funktioniert pushTAN über eine mobile Applikation (App) Ihrer Bank. Der besondere Vorteil (und zugleich Nachteil) liegt darin, dass Sie nur noch ein einziges Gerät brauchen, um eine Transaktion durchzuführen. Mit pushTAN können Sie direkt in der App Ihres Online-Bankings eine Transaktion ausführen und diese dann auch direkt verifizieren. Was im ersten Moment unsicher klingt, baut auf modernste Technologien, sagen zumindest die Anbieter. Notwendig sind zur Bestätigung nämlich sogenannte kryptografische Schlüssel. Ein solcher kann beispielsweise ein Fingerabdruck sein. Durch diese besondere Art der Verifizierung ist ein Missbrauch nur schwer möglich. Bislang steht Ihnen pushTAN allerdings nur bei wenigen Banken als mögliches TAN-Verfahren zur Wahl. Darüber hinaus wird über die tatsächliche Sicherheit dieses TAN-Verfahrens auch weiterhin diskutiert.

Neben dem Begriff pushTAN sollten Ihnen auch PhotoTAN und QR-TAN bereits einmal untergekommen sein. Dabei handelt es sich um ähnliche TAN-Systeme, die auf Smartphone- beziehungsweise App-Basis funktionieren. Der Unterschied zu anderen pushTAN-Systemen liegt dabei darin, dass Sie einen speziellen Code oder eine Grafik erhalten, die dann von Ihrem Gerät (über eine bestimmte App) oder über ein externes Gerät entschlüsselt werden muss. Erst danach erfolgt die Eingabe der TAN. Dabei gibt es eine zusätzliche Sicherheitsstufe. Wirklich häufig genutzt werden Verfahren wie PhotoTAN oder QR-TAN bislang allerdings nicht, obwohl sie theoretisch eine zusätzliche Sicherheit im Vergleich zu anderen Verfahren versprechen würden.

Die Verwendung von eTAN ist empfehlenswert

Grundsätzlich wird Ihnen dazu geraten, auf das eTAN plus-Verfahren zu setzen. Da das alte System ohne Chipkarte nur noch selten zum Einsatz kommt, bietet das eTAN plus-Verfahren die mitunter höchste Sicherheit aller TAN-Verfahren. Darüber hinaus ist das System recht praktisch, sofern Sie es erst einmal verstanden haben. Einzig unterwegs ist eTAN durch die drei verschiedenen Bestandteile etwas komplex und weniger effizient als beispielsweise mTAN. Dennoch ist eTAN plus am Ende das sicherere und bessere System. Die Zahl der Missbrauchsfälle geht gegen Null und auch die meisten Banken empfehlen allen voran dieses System. Fragen Sie am besten bei Ihrem Institut nach, ob ein Wechsel in Frage kommt oder erkundigen Sie sich in unserem Girokontovergleich, ob ein neues Konto nicht vielleicht sogar die insgesamt bessere Alternative ist.