Onlinebanking: Wie sicher sind TAN-Verfahren?

Die Sicherheit bei TAN-Verfahren hat sich über viele Jahre stark weiterentwickelt. Hier finden Sie alle aktuellen Verfahren und Alternativen zur TAN.

Mär 24, 2022 - 4 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Mal eben schnell eine Online-Überweisung tätigen und dann normal mit seinem Alltag fortfahren, ohne dabei innerhalb der eng getakteten Öffnungszeiten gestresst zur Bank fahren zu müssen. Das ist ein Luxus, den wir alle mittlerweile seit Jahren gewohnt sind. Onlinebanking ist Normalität geworden. Den grössten Schutz bietet uns dabei das TAN-Verfahren. Doch was ist das eigentlich und sind unsere Transaktionen wirklich geschützt vor Angriffen? Hier lesen Sie mehr dazu.

Was ist ein TAN-Verfahren?

Die Abkürzung TAN steht für „Transaktionsnummer“ und ist in der Regel eine siebenstellige Zahlenkombination zur Freigabe von Onlinebanking-Aufträgen. Früher gab es klassische TAN-Listen: Jeder Bankkunde, der von zuhause aus eine Überweisung tätigen wollte, verfügte neben seiner persönlichen Identifikationsnummer (PIN) über solch eine Liste. Eine dieser TAN-Nummern musste dann bei der Transaktion angegeben werden. Dadurch hat sich die Bank rückversichert, dass der Auftragt auch wirklich vom Kontoinhaber veranlasst wurde. Denn die Bank versteht die korrekte TAN ähnlich wie die eigene Unterschrift. Das Problem des TAN-Verfahrens: Die Anfälligkeit für Phishing-Attacken, weshalb die klassische TAN-Liste 2005 durch die indizierte TAN-Liste ersetzt wurde. 

Übersicht über die verschiedenen TAN Verfahren

Als die klassische TAN-Liste nicht mehr sicher genug war und der Kriminalität zum Opfer fiel, wurden andere, sicherere Verfahren entwickelt, die den Bankkunden mehr Schutz bieten sollten. Hier eine Auflistung der aktuell bestehenden Anwendungen. 

Indizierte TAN-Liste (iTAN)

Sie ist der Nachfolger der TAN-Liste und war lange das Standard-Verfahren für Überweisungen. Anders als bei der klassischen TAN-Liste, bekommen die Nutzer des iTAN-Verfahrens eine ganz bestimmte Positionsnummer vorgegebene, die sie darauf hinweist, welche TAN-Nummer die Bank haben möchte. Das führt dazu, dass Kunden immer die komplette Liste zur Hand haben müssen. Durch die Einführung des iTANplus-Verfahrens und der Bestätigungsnummer (BEN) wurde die Sicherheit für Kunden nur geringfügig erhöht. Doch auch hier häuften sich Kriminelle-Übergriffe.

mTAN-Verfahren

Dieses Verfahren gilt als eines der Beliebtesten und wird häufig smsTAN oder mobileTAN genannt. Wer eine Überweisung tätigen möchte, gibt zunächst im Onlinebanking seine Telefonnummer an und erhält im Anschluss von seiner Bank die TAN-Nummer per SMS direkt aufs Smartphone-Display. Hierbei sind stets zwei Geräte von Nöten: So öffnet beispielsweise der/die Nutzer:in sein Onlinebanking am Laptop. Die TAN erhält er im nächsten Schritt für die Durchführung der Überweisung per SMS auf sein Smartphone. Zwar könnte man alles auf einem Gerät kombinieren, doch dadurch würde sich die Sicherheit der Transakation stark verringern. Mittlerweile ist jedoch auch das mTAN-Verfahren nicht mehr zu 100 Prozent sicher. Denn durch permanenten Zugang zum Internet ist es für Hacker ein Leichtes, die Daten mittels Phishings oder durch Trojaner abzufangen und auszunutzen. 

pushTAN-Verfahren 

Beim pushTAN-Verfahren wird zwar nur ein Gerät gebraucht, zum Beispiel der Laptop. Jedoch werden zum Generieren der TAN zwei verschiedene Kanäle genutzt. Der erste Kanal stellt das Onlinebanking-Portal des/der Nutzer:in dar. Der zweite Kanal bildet die passwortgeschützte pushTAN-App, welche kostenlos in den üblichen Stores erhältlich ist. Der Vorteil der pushTAN ist ihre Flexibilität. Da der/die Nutzer:in nur noch ein Gerät braucht, kann jederzeit und von überall Geld überwiesen werden. Nachteil hierbei ist die Gefahr, dass das Smartphone gestohlen wird. Denn dadurch würde ebenfalls den Zugriff auf die App verloren gehen. 

chipTAN-Verfahren

Hierbei benötigt der/die Nutzer:in einen chipTAN-Generator, der entweder von der Bank selbst ausgestellt wird oder im Fachhandel erhältlich ist. Wer eine Überweisung damit tätigen will, loggt sich über den Laptop oder das eigene Smartphone in sein Bankingportal ein und erhält nach Angabe der Überweisungsdetails einen grafischen Strichcode. Dieser wird mit dem Generator erfasst. Der Generator funktioniert nur dann, wenn zuvor die EC-Karte eingelesen wurde. Nach dem Scannen des Barcodes wird dann eine TAN generiert. Da der chipTAN-Generator zu keinem Zeitpunkt mit dem Internet verbunden ist, gilt das Verfahren als besonders sicher – schliesslich können Cyberkriminelle so kaum Zugriff auf den Generator gewinnen.

photoTAN-Verfahren

Das photoTAN-Verfahren ist das neueste Verfahren und dem zuvor beschriebenen chipTAN-Verfahren recht ähnlich, da für beide Anwendungen ein spezielles Lesegerät verwendet werden muss. Dieses Mal benötigt der / die Nutzer:in ein photoTAN-Lesegerät. Alternativ kann auch auf eine kostenlose photoTAN-App zurückgegriffen werden. Um eine Überweisung zu tätigen und eine dazugehörige TAN zu generieren, wird bei diesem Verfahren eine farbige Mosaikgrafik gescannt. Da diese Anwendung erst von wenigen Banken angeboten wird, halten Experten Angriffe von Hackern hier eher für unwahrscheinlicher. 

TAN? – Sicherlich! Aber nicht immer sicher

Der Überblick der verschiedenen TAN-Verfahren zeigt, dass jedes einzelne seine Unsicherheiten birgt. Das grösste Risiko besteht hierbei im Verlieren der Geräte, auf denen die Applikationen installiert sind, mit denen Überweisungen getätigt werden. Aber auch Hacker-Angriffe können für jeden Einzelnen zum Problem werden. Am geringsten gefährdet sind derzeit noch Nutzer:innen des photoTAN-Verfahrens, da die Verbreitung der Anwendung derzeit noch nicht so flächendeckend ist, wie bei anderen. Trotz alledem bieten TAN-Verfahren immer noch die höchstmögliche, jedoch nicht die hundertprozentige Sicherheit für Nutzer:innen. Die grösste Schwachstelle in Bezug auf Hacker-Angriffe bietet nach wie vor der / die Kund:in selbst. Durch Unwissenheit oder impulsives Handeln haben Cyber-Kriminelle dadurch grössere Möglichkeiten an sensible Daten zu gelangen. 

Eine gängige Taktik von Hackern ist unter anderem das „Social Engineering“. Hierbei geben Hacker beispielsweise als Mitarbeiter von externen IT-Supports, welcher engagiert wurde, um ein angebliches Buchhaltungsproblem zu lösen. Dabei erfragt der angebliche Angestellte dann, Zugangs- oder Bankdaten zu erlangen. Aber auch durch Phishing-Mails oder Trojaner, können sich Hacker Zugang zu Bankdaten auf dem Smartphone oder dem Laptop verschaffen. Hierbei gilt immer, vorsichtig zu bleiben und sich bei komisch wirkenden E-Mails lieber bei der eigene Hausbank auf die Korrektheit der Anfrage rückzuversichern. 

Biometrie als Alternative zum TAN-Verfahren

Die Multi-Faktor-Authentisierung (MFA) ist ein Sicherheitsmechanismus, bei dem Personen durch mehr als zwei erforderliche Sicherheits- und Validierungsverfahren authentifiziert werden. Denn die Authentisierung nur mit Usernamen und Passwort ist unsicher und anfällig für Hackerangriffe. Grundsätzlich unterscheidet man vier Arten von Authentisierungsverfahren. Sie basieren auf den Faktoren Besitz, Wissen, Standort und biometrische Merkmale. Ein Anwender besitzt beispielsweise ein identifiziertes Gerät, weiss ein Passwort, loggt sich an seinem Standort über eine bestimmte IP-Adresse ein und hat einen einzigartigen Fingerabdruck. Die Kombination von mindestens zwei dieser Identifikationsmittel stellt weitestgehend sicher, dass die Person, die auf Ressourcen zugreifen möchte, wirklich der Mensch ist, der er zu sein vorgibt. Daher bietet die MFA besonders im Bereich Onlinebanking einen guten Schutz. Je ausgeklügelter die MFA, desto sicherer ist das System. Doch wie sieht es mit der Benutzerfreundlichkeit aus? Die Multi-Faktor-Authentisierung löst auch dieses Problem, denn biometrische Faktoren wie der Fingerabdruck oder die Analyse des Tippverhaltens kosten weder Zeit noch Mühe und sind stets verfügbar.

 

Mit (C)IAM Gesetzesänderungen 2022 sicher umsetzen