Wenn Sie über Links in unseren Artikeln einkaufen, erhalten wir eine kleine Provision. Das hat weder Einfluss auf unsere redaktionelle Unabhängigkeit noch auf den Kaufpreis.
Die TAN-Liste fürs Online-Banking hat längst ausgedient. Denn neue Verfahren von der iTAN über die SMS-TAN bis hin zum TAN-Generator liefern längst eine viel höhere Sicherheit. Hier finden Sie alle gängigen TAN-Verfahren im Überblick.
Obwohl es mehr Banking-Trojanern gibt denn je, ist sicheres Online-Banking immer noch möglich. Wichtig ist eines der als sicher geltenden TAN-Verfahren einzusetzen. Als sicher gelten alle Verfahren, die einen zweiten Kanal nutzen. Als erster Kanal gilt etwa der PC, an dem Sie Online-Banking etwa über Ihren Internet-Browser oder eine Banking-Software ausführen. Die TAN bekommen Sie über den zweiten Kanal, etwa per SMS auf das Handy.
TAN steht steht für Transaktionsnummer. Man benötigt sie beim Online-Banking, um eine Überweisung zu legitimieren. Sie ist nur einmal gültig. In der folgenden Bildergalerie finden Sie alle gängigen TAN-Verfahren im Überblick – von der alten TAN-Liste bis hin zur pushTAN.
Alte TAN-Liste
Auf einer solchen TAN-Liste war jede TAN für eine beliebige Überweisung gültig. Diebe mussten also nur per Phishing oder über einen Banking-Trojaner eine einzige TAN erbeuten. Wenn Sie auch die PIN kannten konnten Sie dann das Konto leer räumen. Sollte Ihre Bank immer noch nur dieses einfach TAN-Verfahren anbieten, sollten Sie über einen Wechsel der Bank nachdenken. Das Foto stamm aus der Wikipedia von McZusatz und ist hier zu finden: http://de.wikipedia.org/wiki/Datei:Tanliste.jpg
Zum Schutz vor Phishing führten die meisten Banken vor wenigen Jahren das iTAN-Verfahren ein. Beim iTAN-Verfahren bekommt der Bankkunde ebenfalls eine Liste mit TANs. Doch nun sind die Nummern durchnummeriert. Bei einer Überweisung verlangt die Bank eine ganz bestimmte Nummer von dieser Liste. Somit kann eine per Phishing oder Virus erbeutete Nummer nicht für eine andere Überweisung verwendet werden. Wenn Sie selber das iTAN-Verfahren nutzen, ist Ihr Online-Banking sicher. Voraussetzung ist aber unbedingt, dass Ihr PC virenfrei ist.
mTAN oder SMS-TAN
Das mTAN-Verfahren (SMS-TAN) verspricht mehr Sicherheit: Zwar wird das iTAN-Verfahren noch immer von vielen Banken eingesetzt, doch zeigen raffinierten Banking-Trojaner, dass dieses Verfahren von Dieben geknackt werden kann. Darum bieten die meisten Banken heute zusätzlich oder ersatzweise das mTAN-Verfahren an. Dabei bekommt der Kunde keine TAN-Liste mehr. Stattdessen erhält er die TAN für eine Überweisung per SMS auf sein Handy. Übertragen wird dabei auch der Betrag und die Bankleitzahl des Empfängers. So kann der Nutzer überprüfen, ob die Daten stimmen. Diese mTAN ist nur für jeweils eine Überweisung gültig.
Noch eine Stufe sicherer als das mTAN-Verfahren sind TAN-Generatoren. Diese werden von den meisten großen Banken angeboten. Es handelt sich um Geräte mit Display und einer kleinen Tastatur für die Zahleneingabe. Damit sie eine TAN-Nummer für eine Überweisung ausspucken können, muss man seine EC-Karte einstecken. Hat man eine Überweisung auf der Internetseite der Online-Bank wie gewohnt fertig ausgefüllt, erscheint ein Leucht-Code auf der Seite. In einem kleinen Bereich erscheinen abwechselnd schwarze und weiße Balken. Der TAN-Generator hat mehrere Fotozellen eingebaut, die den Wechsel von schwarz zu weiß registrieren. Man hält den Generator einfach vor dem Bildschirm und bekommt so von der Bank die Daten der aktuellen Überweisung direkt auf den Generator übertragen. In seinem Display kann man Empfänger und Betrag kontrollieren und bekommt schließlich die nur für diese Überweisung gültige TAN. Sie ist zudem auch nur für kurze Zeit gültig. Der Clou bei den meisten TAN-Generatoren: Das kryptische Verfahren fürs Erstellen der TAN steckt nicht im Gerät, sondern auf dem Chip der EC-Karte. Den Generator kann man also getrost herumliegen lassen und mit anderen teilen. Die entscheidende Rolle spielt die EC-Karte. Aktuell gelten die TAN-Generatoren als sicher. Ein erfolgreicher Angriff auf das System ist nicht bekannt.
BestSign mit Seal ONE USB
Die Postbank hat ein Verfahren namens BestSign eingeführt, bei dem digitale Signaturen über einen speziellen USB-Stick erzeugt werden. Dieser Sicherheits-Token verfügt über ein Display sowie eine Bestätigungstaste und enthält einen Krypto-Chip, die nötige Software sowie das Schlüsselpaar für die verschlüsselte Kommunikation mit dem Bank-Server.Seal One-Herstellerseite
Die Sparkassen wollen in der zweiten Jahreshälfte 2013 ein puschTAN-Verfahren einführen. Es soll die TAN über eine App am Smartphone generieren. Das soll ohne den Versandt eine SMS funktionieren und somit Kosten sparen. Technische Details fehlen bisher.
HBCI steht für (Homebanking Computer Interface). HBCI-Geräte arbeitet mit einer passwortgeschützten Chipkarte und werden meist an den COM-Port eines PC angesteckt. Die Geräte kamen Ende der 90er Jahre auf, konnten sich aber bei Privatanwendern nie durchsetzen. Heute bieten Banken kaum noch HBCI-Geräte an.
Grundsätzlich gilt natürlich auch, dass Sie Ihren PC frei von Viren halten müssen. Gegen die meisten raffinierten Banking-Trojaner schützt eine zuverlässige Antiviren-Software mit Firewall. Die Schutz-Software ist auch deshalb nötig, da die meisten Banken ihren Kunden ein solches Programm vorschreiben. Anderenfalls will die Bank für keinerlei Fehler beim Banking einstehen.
Phishing-Schutz: Schutz vor E-Mails, die Ihnen Ihre Log-in-Daten fürs Online-Banking stehlen wollen, sogenannte Phishing-Mails, lässt sich ganz einfach herstellen. Klicken Sie niemals auf einen Link in einer Mail, die von Ihrer Bank kommt oder zu kommen scheint. Rufen Sie im Bedarfsfall stattdessen Ihre Banking-Site immer durch Eingabe der Adresse im Browser auf.
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
