Was ist mTAN und wo kommt das System zum Einsatz?

Inhaltsverzeichnis

1. Wie genau funktioniert mTAN?
   
   • Was sind die Vorteile des mTAN-Verfahrens?
   • Was sind die Nachteile des mTAN-Verfahrens?
2. Wie steht es um die Sicherheit des mTAN-Verfahrens?
3. Sollte ich mTAN nutzen?
4. Welche Alternativen gibt es zum mTAN-Verfahren?
5. Das mTAN-Verfahren ist ein guter Kompromiss

Mobile TAN (kurz mTAN) ist ein vor einigen Jahren eingeführter Standard zur Bestätigung von Transaktionen im Online-Banking. Das mTAN-Verfahren hat bei den meisten Banken das bisherige iTAN-System (umgangssprachlich meist TAN-Liste genannt) abgelöst. Bei vielen Instituten können Sie aber auch heute noch wählen, welches TAN-Verfahren Sie nutzen wollen. In diesem Ratgeber zeigen wir Ihnen deshalb, wie mTAN funktioniert. Darüber hinaus wollen wir der Frage nachgehen, ob dieser Standard überhaupt sicher ist.

Wie genau funktioniert mTAN?

Mobile TAN funktioniert nach einem einfachen Muster. Dennoch gibt es mehr Voraussetzungen als beim klassischen TAN-Verfahren. Wenn Sie mTAN nutzen möchten, benötigen Sie in jedem Fall ein Smartphone. Dieses muss zudem über Empfang verfügen und im System Ihrer Bank hinterlegt sein. Sobald Ihre Telefonnummer hinterlegt ist und Sie mTAN als Standardsystem ausgewählt haben, erhalten Sie zukünftig eine SMS zur Bestätigung Ihrer Transaktionen. Ein Smartphone ist zum Empfang dieser SMS nicht notwendig. Sie können auch ein normales Mobiltelefon verwenden. Die Textnachricht Ihrer Bank enthält noch einmal alle relevanten Informationen zur Transaktion. Drei Elemente sollten in der Nachricht sichtbar sein:

Die IBAN des Empfängers und die Höhe der Transaktion dienen einzig zum Datenabgleich. Sie sollten diese dennoch genau überprüfen, um Tippfehler oder falsche Transaktionen zu verhindern. Auch den Typ der Transaktion sollten Sie nicht einfach überlesen. Im Normalfall sollte es sich zwar um eine Überweisung handeln, teilweise richten Sie aber möglicherweise gerade auch einen Dauerauftrag oder einen Wertpapiersparplan über das Online-Banking ein. Werfen Sie daher einen kurzen Blick auf den Transaktionstyp, um Fehler zu vermeiden.

Neben diesen Informationen steht in der Nachricht natürlich auch noch die Transaktionsnummer. Hierbei handelt es sich gewöhnlich um eine sechsstellige Zahl. Diese können Sie nach dem Abgleich und der Prüfung der Überweisungsdaten direkt in Ihrem Online-Banking zur Bestätigung eingeben. Gleichen Sie dabei im Idealfall noch einmal die Daten auf dem Bildschirm mit denen aus der SMS ab. Sobald Sie dies getan haben, können Sie die Transaktion bestätigen. Danach erhalten Sie von Ihrer Bank eine Bestätigung im Online-Banking, eine weitere SMS erhalten Sie dagegen nicht.

Das mTAN-Verfahren anhand eines Videos erklärt:

Was sind die Vorteile des mTAN-Verfahrens?

Das mTAN-Verfahren zeichnet sich dadurch aus, dass es ein guter Mittelweg zwischen Sicherheit und Komfort ist. Ein Handy mit SMS-Funktion haben Sie vermutlich sowieso, Sie müssen für das mTAN-Verfahren also kein neues Gerät anschaffen. Darüber hinaus ist das mTAN-Verfahren statistisch gesehen sehr sicher, was auch daran liegt, dass die TANs nach kürzester Zeit automatisch ablaufen. Zudem müssen Sie nicht auf die lästige Zusendung einer neuen TAN-Liste warten, sondern können Ihre TANs einfach fortlaufend über Ihr Mobiltelefon beziehen. Dazu kommt, dass Sie das mTAN-Verfahren auch unterwegs und sogar weltweit nutzen können. Sie benötigen nur Ihr Smartphone und Handyempfang und können so selbst auf Auslandsreisen ohne Probleme Transaktionen durchführen.

Weitere Vorteile des mTAN-Verfahrens finden sich im Bereich der Nachweisbarkeit. Sollte es je zu Problemen kommen, haben Sie die SMS als Bestätigung für jegliche Transaktionen immer auf dem Smartphone. Wir raten Ihnen deshalb auch dazu, die SMS sofort zu löschen. Sobald Sie die Transaktion durchgeführt haben, ist die Transaktionsnummer sowieso wertlos und kann von Betrügern entsprechend nicht missbräuchlich genutzt werden. Schlussendlich zeichnet sich das mTAN-Verfahren auch dadurch aus, dass die Sicherheit durch die Verwendung von zwei verschiedenen Geräten erhöht wird, falls dies der Fall ist. Wenn Sie sowohl ein Mobiltelefon als auch einen Computer verwenden, haben Betrüger kaum eine Chance.

Was sind die Nachteile des mTAN-Verfahrens?

Auch das mTAN-Verfahren ist bereits einige Jahre alt und wird deshalb heutzutage immer wieder kritisiert. Anfangs als sicherstes Verfahren im Online-Banking deklariert, gibt es spätestens seit 2010 auch Kritik am mTAN-Verfahren. So ist es Betrügern bereits auf mehreren Wegen gelungen, das doppelt abgestufte System ‚auszutricksen‘. Dazu kommen weitere Nachteile des mTAN-Verfahrens, die wir Ihnen hier nahebringen wollen. Dazu gehören unter anderem diese:

Zusatzkosten sind beim mTAN-Verfahren eher die Ausnahme als die Regel. Dennoch gibt es einige Banken, die für die Übersendung der SMS Gebühren nehmen. Da für die Banken selbst an dieser Stelle ebenfalls – wenn auch geringe – Kosten entstehen, werden diese teilweise an die Kunden weitergegeben. Bei einigen Banken fällt diese Gebühr grundsätzlich an. Andere Institute erheben die Gebühr erst ab der 5. oder 10. Überweisung innerhalb eines Monats. Die meisten Banken dagegen verzichten komplett auf eine Gebühr für die Nutzung von mTAN. Gerade bei sogenannten Direktbanken gibt es diese Gebühren im Prinzip nie. Sofern eine Gebühr für die Nutzung von mTAN erhoben wird, liegt diese meist im Bereich von wenigen Cent pro SMS. Die Gebühr wird dann direkt im Rahmen der Transaktion von Ihrem Girokonto (die besten Girokonten finden Sie in unserem Girokontovergleich) abgezogen. Wir empfehlen Ihnen grundsätzlich, vor der Wahl des TAN-Verfahrens einen genauen Blick auf die Bedingungen Ihrer Bank zu werfen.

Ein weiterer möglicher Nachteil des mTAN-Verfahrens ist in einem vorübergehenden Ausfall zu sehen. Wie bereits erwähnt, benötigen Sie für die Nutzung des Verfahrens Ihr Mobiltelefon und Handyempfang. Das heißt gleichzeitig auch: Sollte es eine Netzstörung geben oder wohnen Sie in einer Region, in der es teilweise keinen Empfang gibt, sind Sie auch vom Online-Banking abgeschnitten. Sie können eine Transaktion immer nur dann durchführen, wenn Sie auch Empfang haben – ansonsten bekommen Sie gar nicht erst die SMS mit der Transaktionsnummer. Darüber hinaus können Sie das mTAN-Verfahren dann nicht nutzen, wenn Sie Ihr Mobiltelefon oder Ihre SIM-Karte verlieren. In diesem Fall dauert es oft einige Tage, bis Sie wieder Ersatz haben. In der kompletten Zwischenzeit können Sie keinerlei Transaktionen im Online-Banking durchführen. Gerade wenn Sie viele Überweisungen durchführen müssen, kann das ein echtes Problem sein.

Wie steht es um die Sicherheit des mTAN-Verfahrens?

Für Sie ist bei der Verwendung eines TAN-Verfahrens sicherlich die Sicherheit das Hauptargument. Deshalb wollen wir für Sie auch die Frage klären, ob das mTAN-Verfahren Ihnen die gewünschte Sicherheit verspricht. Das wird von einigen Experten nämlich in Zweifel gezogen. Noch vor zehn Jahren erhielt das mTAN-Verfahren mehrere Auszeichnungen in puncto Sicherheit. Die Systeme mehrerer Institute erhielten im Rahmen dessen sogar eine TÜV-Zertifizierung. Gerade die Aufteilung auf zwei verschiedene Geräte wird beim mTAN-Verfahren bis heute als einer der entscheidenden Pluspunkte bei der Sicherheit gesehen.

Kritisch gesehen wird das mTAN-Verfahren allen voran seit dem Voranschreiten der Digitalisierung und der damit einhergehenden Verknüpfung von Mobiltelefonen (Smartphones) mit dem Internet. Seitdem nutzen viele Verbraucher das Smartphone gleichzeitig für das Online-Banking und den Empfang der Transaktionsnummer, was das entscheidende Positivkriterium zunichtemacht. Einige Banken verbieten diese Art der Nutzung zwar, generell ausgeschlossen ist diese Doppelnutzung jedoch nicht. Dazu kommt, dass es Hacker und andere Betrüger ausnutzen, dass alle Geräte mit dem Internet verbunden sind. So können sie sich Zugriff auf die Geräte verschaffen und so über verschiedene Wege Schaden anrichten – auch im Online-Banking.

In den vergangenen Jahren ist es im Rahmen von Hacker-Angriffen zu verschiedenen Zwischenfällen gekommen (Stand: 07/2017). Problematisch ist das mTAN-Verfahren etwa in diesen Fällen:

• Angriff auf das Mobiltelefon (Smartphone)
• Angriff auf das Mobilfunk-Netz
• Angriff auf den Netzbetreiber
• Anforderung einer neuen oder zweiten SIM-Karte
• Portierung der Rufnummer

Zu einem Angriff auf das Mobiltelefon kann es etwa kommen, wenn Hacker versuchen über eine E-Mail oder über ein öffentliches WLAN-Netz einen Trojaner oder einen anderen Virus auf ein Gerät einzuspielen. Gerade wenn dieses sowohl für den Empfang als auch die Durchführung von Transaktionen genutzt wird, kann so ein enormer Schaden entstehen. Der Trojaner kann dann gegebenenfalls von selbst Transaktionen durchführen, ohne dass der Nutzer dies wirklich merken würde. Doch selbst wenn das Mobiltelefon nur zum Empfang der TAN genutzt wird, schaffen Hacker es teilweise durch einen gleichzeitigen Angriff auf den Computer an die Daten des Online-Banking zu kommen.

Wesentlich komplexer sind Angriffe auf das Mobilfunk-Netz, die durch verschiedene lokale Störsignale (eine räumliche Nähe ist hierfür entscheidend) möglich ist. Dabei werden SMS abgefangen und umgeleitet – das hat im Jahr 2017 bereits zu einem größeren Betrugsfall geführt. Theoretisch wäre ähnlich auch ein Angriff auf einen Netzbetreiber, etwa durch eine infiltrierte Person, möglich. Bislang wurde ein solcher Fall allerdings nicht öffentlich.

Als problematisch hat sich im Rahmen des mTAN-Verfahrens auch der geringe Datenschutz erwiesen. Bei vielen Mobilfunkanbietern ist für die Anforderung einer neuen oder zweiten SIM-Karte oder der Portierung einer SIM-Karte keine oder nur eine geringe zusätzliche Authentifizierung nötig. Betrüger haben das in der Vergangenheit bereits ausgenutzt, um durch abgefangene Pakete oder eine Umleitung der Sendungen direkt an die Telefonnummer eines Bankkunden zu kommen. Haben die Betrüger gleichzeitig Zugriff auf das Online-Banking, können sie mit der Telefonnummer im Prinzip Transaktionen in beliebiger Höhe durchführen. Fälle wie diese sind in der Vergangenheit bereits häufig vorgekommen. Mittlerweile haben allerdings auch die Mobilfunkanbieter durch die Einführung von höheren Sicherheitsstandards reagiert.

Sollte ich mTAN nutzen?

Das mTAN-Verfahren ist das in Deutschland mittlerweile am häufigsten genutzte TAN-Verfahren (Stand: 07/2017). Dennoch garantiert auch mTAN Ihnen keine hundertprozentige Sicherheit. Es besteht immer die Möglichkeit, dass Ihnen Ihr Mobiltelefon gestohlen wird oder es zu einem Hacker-Angriff kommt. Dennoch gilt mTAN als signifikant sicherer als TAN-Listen und das iTAN-System. Das heißt jedoch nicht, dass Sie nicht über die Sicherheit nachdenken sollten. Grundsätzlich ist die Missbrauchsquote in Deutschland allerdings sehr gering, sodass Sie mTAN vermutlich genauso wie Millionen andere ohne Probleme verwenden können. Eine so gute Kombination aus Einfachheit und Sicherheit bietet Ihnen derzeit kein anderes TAN-Verfahren, weswegen wir Ihnen die Verwendung von mTAN durchaus empfehlen können. Gleichzeitig würden wir Ihnen raten, Ihre IT-Sicherheit zu überprüfen und einen Experten einen Blick auf den Viren- und Malware-Schutz Ihres Computers und Ihres Smartphones werfen zu lassen. Dadurch können Sie sicherstellen, dass Sie mTAN sicher und auch in den nächsten Jahren problemlos verwenden können.

Welche Alternativen gibt es zum mTAN-Verfahren?

Experten schätzen das sogenannte eTAN-Verfahren mittlerweile als deutlich sicherer ein als mTAN. Dafür müssen Sie aber Nachteile in puncto Praktikabilität hinnehmen. Das eTAN-Verfahren (auch chipTAN genannt) funktioniert nach dem folgenden Muster: Sie erhalten von Ihrer Bank einen sogenannten TAN-Generator. Wenn Sie dann eine Transaktion in Ihrem Online-Banking durchführen, werden Sie gebeten, den Generator an den Bildschirm zu halten. Davor müssen Sie allerdings auch noch Ihre Girokarte in den TAN-Generator stecken und warten, bis die Karte erkannt ist. Danach liest der Generator in Verbindung mit der Chipkarte vom Bildschirm einen Code ab. Sobald dieser Prozess abgeschlossen ist, wird Ihnen auf dem Generator eine Übersicht aller Transaktionsdaten aufgezeigt – auch hier fallen Man-in-the-middle-Attacken sofort auf. Danach folgt die TAN, mit der Sie die Transaktion dann im Online-Banking bestätigen können. Grundsätzlich gilt diese Variante durch die dreifache Identifizierung (Log-in im Online-Banking, TAN-Generator und Girokarte) als besonders sicher. Dafür müssen Sie allerdings auch damit zurechtkommen, dass Sie neben dem Online-Banking zwei weitere Geräte brauchen, um Ihre Transaktionen durchzuführen. Gerade wenn Sie viel unterwegs sind, ist das äußerst unpraktisch.

Das modernste TAN-Verfahren ist pushTAN. Hierbei handelt es sich allerdings auch um eine Lösung für die Sie zwingend ein Smartphone benötigen. Generell funktioniert pushTAN über eine Applikation Ihrer Bank. Der besondere Vorteil liegt dabei daran, dass Sie nur noch ein Gerät brauchen, um eine Transaktion durchzuführen. Mit pushTAN können Sie direkt in der App Ihres Online-Bankings eine Transaktion ausführen und diese dann auch direkt verifizieren. Was im ersten Moment unsicher klingt, baut auf modernste Technologien. Notwendig sind zur Bestätigung nämlich sogenannte kryptografische Schlüsse. Ein solcher kann beispielsweise ein Fingerabdruck sein. Durch diese besondere Art der Verifizierung ist ein Missbrauch nur schwer oder überhaupt nicht möglich. Bislang steht Ihnen pushTAN allerdings nur bei wenigen Banken als mögliches TAN-Verfahren zur Wahl. Darüber hinaus wird über die tatsächliche Sicherheit dieses TAN-Verfahrens auch weiterhin diskutiert.

Von der Nutzung von iTAN, dem Nachfolger der klassischen TAN-Listen, raten wir Ihnen auf Grund der geringen Sicherheit und der ebenfalls wenig hohen Praktikabilität dagegen grundsätzlich ab.

Das mTAN-Verfahren ist ein guter Kompromiss

Wenn es für Sie beim Online-Banking ausschließlich um die Sicherheit geht, ist eTAN sicherlich die beste Alternative für Sie. Wenn Sie jedoch eine Kombination aus Sicherheit, Praktikabilität und Komfort suchen, ist mTAN genau richtig für Sie. Mit einem gesunden Augenmaß in puncto Sicherheit der eigenen Geräte, ist mTAN ein unproblematisches System. Zudem können Sie mTAN überall einfach und schnell verwenden – auch wenn Sie im Ausland sind. Dazu benötigen Sie ausschließlich Ihr Handy, das Sie mit großer Wahrscheinlichkeit sowieso mitführen.