TAN-Generator
FinTech

TAN-Verfahren (pushTAN, chipTAN, smsTAN usw.) für das Online-Banking im Überblick

Bild: Tech Junkies / Patrick Woessner

Waren früher iTAN-Listen quasi Standard für die Freigabe von Transaktionen im Online-Banking, haben mittlerweile moderne TAN-Verfahren die Papierlisten abgelöst.

Derzeit sind appTAN (pushTAN, QR-TAN, photoTAN – über eine Smartphone-App oder ein Lesegerät), chipTAN (girocard und TAN-Generator erzeugen die TAN) oder smsTAN (TAN wird per SMS zugestellt) übliche TAN-Verfahren.

Allgemein sind TAN-Verfahren zusätzliche Sicherheitsfaktoren (sog. Zwei-Faktor-Authentifizierung / 2FA), so dass ein Angreifer, der sich Zugang zu Benutzerkennung und PIN für das Online-Banking verschafft hat, dennoch keinen großen Schaden anrichten kann.

TAN-Generatoren kommen zum Einsatz für den Login in das Online-Banking und / oder zur Freigabe von Transaktionen (z.B. Überweisungen oder Orderaufträge im Depot),

TAN-Verfahren im Vergleich

appTAN (Smartphone-App-basierte TAN-Verfahren wie pushTAN, QR-TAN oder photoTAN)

Was wird benötigt:

  • Online-Banking bei einer Bank, die appTAN unterstützt (z.B. pushTAN oder QR-TAN).
  • Smartphone mit einem unterstützten Betriebssystem (meist aktuelle Android- oder iOS-Version) oder Lesegerät als Alternative bei photoTAN.
  • Installierte TAN-App der jeweiligen Bank (entfällt bei Lesegerät).

Beispiel-Apps:

pushTAN

pushTAN ist das derzeit gängigste appTAN-Verfahren.

Man installierte die pushTAN-App der jeweiligen Bank auf dem Smartphone oder Tablet und schaltet diese über das Online-Banking frei.

Die Freischaltung kann je nach Bank unterschiedlich ausfallen.

Anschließend erhält man beim Login in das Online-Banking oder für die Freigabe einer Transaktion wie einer Überweisung eine Push-Mitteilung auf das Smartphone.

Diese Push-Mitteilung öffnet die pushTAN-App, in der die transaktionsbezogene TAN angezeigt wird.

Die pushTAN-App wird dabei in der Regel über ein appspezifisches Passwort oder das biometrische Sicherheitsverfahren (Fingerabdruck-Sensor) geschützt.

Zur Überprüfung wird meist angezeigt, wofür die TAN erzeugt wurde.

Das kann z.B. „Login in das Online-Banking“ oder „Freigabe der SEPA-Überweisung auf das Konto DE…“ sein.

So lässt sich prüfen, ob die TAN zu der Transaktion passt, die man im Begriff ist, freizugeben. Das reduziert das Risiko für Phishing-Attacken.

pushTAN gilt als ziemlich sicher, jedoch erlauben mittlerweile zahlreiche Banken, die Banking-App und die pushTAN-App auf dem gleichen Smartphone zu betreiben.

Zwar werden Maßnahmen ergriffen, um die Banking-App und die pushTAN-App auf dem Gerät zu isolieren. Jedoch kann man die Frage aufwerfen, ob es sich in dem Fall wirklich noch um einen „echten“ zweiten Faktor handelt.

Ansonsten gehören der Verlust des Smartphones oder Angriffe auf das Smartphone z.B. mittels Trojaner zu den Risiken.

QR-TAN oder photoTAN

Auch bei QR-TAN und photoTAN muss die jeweilige TAN-App der Bank auf dem Smartphone oder Tablet installiert und aktiviert werden.

In Abgrenzung zum pushTAN-Verfahren erhält man die TAN jedoch nicht in Form einer Push-Nachricht auf das mobile Endgerät.

Stattdessen wird im Online-Banking zur Freigabe einer Transaktion entweder ein QR-Code (für QR-TAN) oder ein farbiger Barcode (für photoTAN) angezeigt.

Man öffnet dann auf dem Smartphone oder Tablet die TAN-App und scannt den angezeigten Code mittels der Kamera des mobilen Endgeräts.

In der TAN-App wird dann die TAN angezeigt, die man im Online-Banking eingibt.

Folgende Banken bieten QR-TAN oder photoTAN an (Auswahl):

Auch hier wird die TAN-App in der Regel über ein zusätzliches Sicherheitsmerkmal (z.B. PIN, Password oder Fingerabdruck-Sensor) gesichert.

Als Alternative für Kunden, die kein kompatibles Smartphone besitzen oder dieses nicht für die TAN-App nutzen möchten, bieten einige Banken photoTAN-Lesegeräte an.

Die Sicherheit beim QR-TAN-Verfahren und photoTAN-Verfahren ziemlich hoch bewertet.

Man benötigt zwei Geräte (eines zeigt den Code an, das zweite wird zum Abfotografieren und zur TAN-Generierung genutzt), was grundsätzlich eine echte Zwei-Faktor-Authentifizierung darstellt.

chipTAN (inkl. chipTAN QR, sm@rtTAN photo, chipTAN USB, bluetoothTAN)

Was wird benötigt?

  • Online-Banking bei einer Bank, die chipTAN unterstützt.
  • Kompatibler TAN-Generator für das jeweilige chipTAN-Verfahren.
  • girocard (früher: EC-Karte).

Klassisches chipTAN-Verfahren: chipTAN manuell oder chipTAN optisch

Das klassische chipTAN-Verfahren gibt es in zwei Varianten:

  • chipTAN manuell: Hier müssen die Transaktionsdaten aus dem Online-Banking von Hand auf der Tastatur des TAN-Generators eingegeben werden.
  • chipTAN optisch: Im Online-Banking wird ein Flickercode angezeigt. Man hält den TAN-Generator an den Monitor, wodurch die Transaktionsdaten automatisch übertragen werden.

In den meisten Fällen wird man chipTAN optisch verwenden.

Das Verfahren ist komfortabler und zeitsparender.

Es wird gelegentlich von Nutzern berichtet, dass der Flickercode vom TAN-Generator nicht erkannt wird, was z.B. bei bestimmten Monitor-Einstellungen oder starkem Umgebungslicht denkbar ist.

Mir selbst ist das nie passiert.

chipTAN manuell ist primär als Fallback-Variante gedacht, sollte chipTAN optisch nicht funktionieren.

Bild: Tech Junkies / Patrick Woessner

Weitere chipTAN-Verfahren (chipTAN QR, sm@rtTAN photo, chipTAN USB, bluetoothTAN)

Neben dem „klassischen“ chipTAN gibt es weitere, verwandte TAN-Verfahren.

Auch hier braucht man den TAN-Generator und die girocard (früher: EC-Karte).

Der Unterschied besteht dann in der Datenübertragung:

  • chipTAN QR: Statt dem Flickercode wird ein QR-Code eingelesen.
  • sm@rtTAN photo: Hier wird ein Farbmatrixcode verwendet.
  • chipTAN USB: Die Transaktionsdaten werden über ein USB-Kabel an den TAN-Generator übertragen.
  • bluetoothTAN: Im Prinzip wie chipTAN USB, nur dass statt dem USB-Kabel eine drahtlose Bluetooth-Verbindung verwendet wird.

Vorrangig muss man sich bei der Auswahl des TAN-Verfahrens daran halten, was die jeweilige Bank unterstützt.

Das „klassische“ chipTAN (optisch / manuell) wird immer noch häufig unterstützt.

chipTAN QR, sm@rtTAN photo, chipTAN USB und bluetoothTAN sind seltener anzutreffen.

Ärgerlich kann es sein, wenn man Konten bei verschiedenen Banken hat.

Zwar unterstützen m.W. die gängigen TAN-Generatoren für chipTAN QR, sm@rtTAN photo, chipTAN USB und bluetoothTAN auch chipTAN manuell.

Mit einem Flickercode können diese TAN-Generatoren jedoch in der Regel nicht umgehen.

chipTAN aktivieren und TAN-Generator synchronisieren

Bevor man das chipTAN-Verfahren erstmals nutzen kann, muss das Verfahren zunächst im Online-Banking aktiviert werden.

Teilweise ist es auch erforderlich, den TAN-Generator zu synchronisieren.

Dazu kann man sich auf dem TAN-Generator die ATC (Application Transaction Counter) anzeigen lassen.

Für die Aktivierung von chipTAN meldet man sich im Online-Banking an.

Die Vorgehensweise kann ein wenig variieren.

Bei der DKB kann man z.B. pushTAN und chipTAN gleichzeitig nutzen, erhält jedoch separate Zugangsdaten für das Online-Banking.

Andere Banken wie z.B. die Postbank nutzen den gleichen Login, fragen dann jedoch bei jeder TAN-Abfrage, welches TAN-Verfahren verwendet werden soll (sofern mehrere eingerichtet sind).

Ich habe hier schon einmal FYRST vorgestellt. Da FYRST das Online-Banking der Postbank nutzt, ist die chipTAN-Implementierung dort auch so gelöst.

Die DKB geht mit komplett getrennten Zugangsdaten für chipTAN eher einen eigenen Weg.

Bei der Aktivierung muss teils auch gleich die erste TAN und der ATC via chipTAN eingegeben werden – auch hier variiert die Implementierung je nach Bank.

TAN-Generator synchronisieren für chipTAN bei der DKB
Dialog im Online-Banking der DKB – TAN-Generator synchronisieren mittels Eingabe von TAN und ATC (TAN-Zähler).

Bild: Screenshot DKB Online-Banking / TAN-Generator synchronisieren

Weitere TAN-Generatoren

eTAN (ohne Karte) und eTAN plus (mit Karte)

Die TAN-Verfahren eTAN bzw. eTAN plus funktionieren ähnlich wie chipTAN, kommen jedoch im Fall von eTAN ohne Chipkarte (in der Regel die girocard bzw. EC-Karte aus).

Man erhält in diesem Fall einen fertig eingerichteten TAN-Generator von seiner Bank.

Bezüglich der Funktionsweise erhält man im Online-Banking bei Transaktionen eine Prüfnummer angezeigt. Diese muss man beim eTAN-Verfahren in den TAN-Generator eingeben, woraufhin die TAN berechnet wird.

Bei eTAN plus (auch eTAN+ geschrieben) muss wie bei chipTAN die girocard in das Kartenlesegerät gesteckt werden.

Die letzten Banken, die meines Wissens noch eTAN anboten, waren die BW-Bank, die Volkswagen Bank bzw. jetzt Volkswagen Financial Services und die Audibank. Diese haben jedoch seit geraumer Zeit auf pushTAN oder chipTAN (BW-Bank) bzw. photoTAN-App oder photoTAN-Lesegerät (Volkswagen Financial Services) umgestellt.

Kommentar von Patrick Woessner, Autor bei Tech Junkies

Das klassische eTAN (also TAN-Generator ohne Karte) hat ausgedient.

Der Grund dafür ist folgender: Man erzeugt die TAN in diesem Fall an einem Gerät, ohne dass dort noch einmal die Transaktionsdaten zur Überprüfung angezeigt werden.

Damit lässt sich nicht überprüfen, ob die TAN auch zu der ursprünglich angefragten Transaktion erstellt wird.

Die generierte TAN ist sodann auch nicht an die Transaktionsdaten (z.B. Überweisungsbetrag, Empfängerkonto) gebunden. Würde ein Angreifer die TAN mittels Man-in-the-Middle-Angriff abgreifen, hätte er die Möglichkeit, die Transaktion zu manipulieren.

In Zeiten von PSD2 ist eTAN bzw. eTAN plus nicht mehr zulässig, denn PSD2 fordert sogenanntes „dynamic linking“.

Unter „dynamic linking“ versteht man, dass eine TAN (oder ein sonstiger zweiter Faktor) spezifisch für eine konkrete Transaktion errechnet wird, was bei eTAN und eTAN plus nicht der Fall ist.

Aus dem gleichem Grund ist auch die klassische TAN-Liste bzw. iTAN-Liste nicht mehr zulässig.

photoTAN-Lesegerät (als App-Alternative)

Einige Banken bieten ein photoTAN-Lesegerät an, welches ohne Bankkarte funktioniert.

Dieses stellt meist eine Alternative zum photoTAN-Verfahren über eine Smartphone-App dar, sofern man über kein passendes Smartphone verfügt oder diesen Weg nicht nutzen möchte.

Mir sind folgende Banken bekannt, die ein photoTAN-Lesegerät anbieten:

Das photoTAN-Lesegerät bestellt man meist direkt über die Bank.

Nach Erhalt Gerätes ist eine Aktivierung erforderlich. Das geschieht über das Online-Banking oder einen Aktivierungsbrief.

Anschließend kann man die Codegrafiken im Online-Banking mit dem Lesegerät abfotografieren, woraufhin eine TAN generiert wird.

Bei diesem TAN-Verfahren ist es wichtig, dass photoTAN-Lesegerät stets sicher aufzubewahren, so dass Dritte keinen Zugriff darauf haben.

mobileTAN, mTAN bzw. smsTAN

Beim mTAN-Verfahren wird bei der Bank eine Referenz-Mobilfunknummer hinterlegt, die dem Kontoinhaber gehört.

Zur Freigabe von Transaktionen wird sodann eine SMS mit der jeweiligen TAN an die Mobilfunknummer gesendet.

Das mTAN-Verfahren gilt prinzipiell als fortschrittlicher als TAN-Listen und iTAN-Listen, jedoch gibt es durchaus Kritik an der Sicherheit.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt beispielsweise, dass mTAN-Verfahren nicht mehr zu nutzen.

Grundsätzlich gibt es zwei Schwachstellen, die häufig genannt werden.

Einerseits ist das Phishing. Hier wird der Nutzer in der Regel auf eine oftmals täuschend echt aussehende Fake-Webseite geleitet, über die die mTAN abgefangen wird.

Phishing kann jedoch im Grunde alle TAN-Verfahren betreffen.

Andererseits ist SIM-Karten-Swapping denkbar. Hier wendet sich der Angreifer im Namen des Opfers an den Mobilfunk-Provider des Opfers und versucht, eine Ersatz-SIM-Karte zu bestellen, die der Angreifer dann abfängt.

Auch der Diebstahl eines Mobiltelefons kann problematisch sein. Deshalb wird empfohlen, die SIM-Karte unverzüglich über den Mobilfunkprovider zu sperren, damit der Dieb keine mobileTAN, mTAN bzw. smsTAN empfangen kann.

Ebenso kommen Attacken über Sicherheitslücken im Smartphone-Betriebssystem für einen Angriff in Betracht.

Einige Banken haben (vermutlich auch aus diesen Gründen) begonnen, mobileTAN, mTAN bzw. smsTAN durch ein anderes TAN-Verfahren zu ersetzen.

iTAN bzw. TAN-Listen auf Papier

iTAN bezeichnet ein TAN-Verfahren, bei dem die Bank auf dem Postweg eine TAN-Liste in Papierform versendet.

Dabei ist iTAN die Weiterentwicklung der TAN-Liste.

Klassische TAN-Listen enthalten eine Vielzahl von TAN-Nummern. Für die Freigabe einer Transaktion kann eine beliebige TAN eingegeben werden.

Bei iTAN steht das „i“ für indiziert.

Die TANs haben hier eine fortlaufende Nummer. Im Online-Banking wird für die Freigabe einer Transaktion eine TAN mit einer bestimmten Nummer angefordert.

Mittlerweile gilt die PSD2 (Payment Service Directive 2) und fordert eine „starke Kundenauthentifiziering“.

Eine TAN-Liste oder iTAN-Liste erfüllt die PSD2-Anforderung nicht.

Mittlerweile haben Banken deshalb auf TAN-Verfahren wie appTAN oder chipTAN umgestellt, welche TAN-Liste und iTAN-Liste ersetzen.

iTAN-Liste
Sowohl die TAN-Liste wie auch die iTAN-Liste haben nach der PSD2-Einführung ausgedient.

Bild: Tech Junkies / Patrick Woessner

Online-Banking ohne TAN – Alternativen für den zweiten Faktor

Mobile-Banking mittels Device-Binding

Selbst nach PSD2 sind noch digitale Banking-Anwendungsfälle möglich, die im Alltag ohne ein modernes TAN-Verfahren auskommen.

Einige Mobile-Banking-Angebote (z.B. das von mir zuvor vorgestellte Tomorrow) setzten auf sogenanntes Device-Binding.

Hier wird die Banking-App auf einem mobilen Endgerät (Smartphone und Tablet) installiert. Im Rahmen der Einrichtung wird das Endgerät dann dauerhaft „gekoppelt“.

Für die Kopplung wird ein zweiter Faktor abgefragt. Häufig ist das ein per SMS zugeschickter Code, der bei der Einrichtung zusätzlich zu den Zugangsdaten eingegeben werden muss.

Anschließend ist das Device-Binding abgeschlossen.

Danach wird für die Anmeldung im Mobile-Banking in der Regel keine TAN mehr abgefragt.

Auch Banken, die keine reine Smartphone-Bank sind, setzen das Device-Binding teils für den vereinfachten Login in die mobile Banking-App ein.

So ist in der Regel nur noch ein Passwort, eine PIN oder ein inhärentes Merkmal per Fingerabdruck-Sensor oder Gesichtserkennung erforderlich.

Teilweise ist es in Banking-Apps, die mittels Device-Binding eingerichtet wurden, auch möglich, Transaktionen direkt aus der App heraus per Fingerabdruck-Sensor freizugeben.

Das ist möglich, da PSD2 verlangt, dass mindestens zwei unterschiedliche Faktoren aus zwei unterschiedlichen der folgenden drei Kategorien abgefragt werden:

  • Wissen (z.B. Passwort oder PIN)
  • Besitz (z.B. girocard, Smartphone gekoppelt per Device-Binding, eTAN-Generator, photoTAN-Lesegerät)
  • Inhärenz (z.B. Fingerabdruck oder Gesichtserkennung)

Zwei Faktoren zusammen bilden dann die sogenannte Starke Kundenauthentifizierung im Einklang mit PSD2.

Im Falle des Mobile-Banking ohne TAN erfolgt die Authentifizierung aus den Kategorien Besitz (mittels Device-Binding gekoppeltes Smartphone) sowie Inhärenz (Fingerabdruck erkannt über den Fingerabdruck-Sensor).

Device-Binding bei Trade Republic
Auch der Neo-Broker Trade Republic ermöglicht den Login mittels Besitz (Smartphone mittels Device-Binding) sowie Inhärenz (Fingerabdruck erkannt über den Fingerabdruck-Sensor).

Bild: Screenshot Trade Republic / App-Login

secureApp ohne TAN

Einige Apps funktionieren nach dem Push-Prinzip, jedoch erfolgt die Freigabe einer Transaktion ohne TAN-Eingabe.

In diesem Fall meldet man sich in der App an (z.B. mittels Passwort, PIN, Fingerabdruck-Sensor oder Gesichtserkennung).

Anschließend bekommt man die Daten der offenen Transaktion angezeigt (z.B. Empfänger-IBAN, Betrag, Verwendungszweck bei einer SEPA-Überweisung).

Man hat dann zwei Schaltflächen zur Auswahl – „Freigeben“ und „Ablehnen“.

Eine separate TAN-Eingabe ist nicht mehr notwendig; die Freigabe bzw. Ablehnung wird direkt über die secureApp zurück an die Bank-Server übermittelt.

Zwei mir bekannte Beispiele für ein solches secureApp-Verfahren ohne TAN sind die SpardaSecureApp der Sparda-Banken und die SecureApp der netbank.

BestSign von Seal One

Derzeit meines Wissens hier in Deutschland vor allem bei der Postbank im Einsatz ist das BestSign-Verfahren.

Das funktioniert einerseits über die Apps der Postbank.

Andererseits werden auch BestSign-Sticks des Unternehmens Seal One angeboten.

Diese BestSign-Sticks werden per USB oder Bluetooth mit dem PC verbunden.

Die Funktionsweise von BestSign unterscheidet sich insoweit vom TAN-Verfahren, dass auf dem Display (egal ob bei App- oder Stick-Nutzung) die Transaktionsdaten zur Kontrolle angezeigt werden.

Sofern die angezeigten Daten stimmen, gibt man die Transaktion direkt per Button bzw. Knopfdruck über die BestSign-App oder den BestSign-Stick frei.

Bei der Postbank wird BestSign sogar direkt in die eigentlich Banking-App integriert.

In diesem Fall kann man die Transaktion direkt bestätigen; ein Wechsel in die separate BestSign-App entfällt.

Kunden haben jedoch die Wahl – die Nutzung der separat angebotenen BestSign-App oder eines BestSign-Sticks ist ebenfalls möglich.

Wie steht es um die Sicherheit der TAN-Verfahren?

Grundsätzlich kommen bei der Sicherheit verschiedene Faktoren in Erwägung:

  • Die Konzeption des TAN-Verfahrens an sich.
  • Die Implementierung durch die Bank.
  • Eingesetztes Medium bzw. Gerät und Kommunikationswege.
  • Die verantwortungsvolle Nutzung durch den Kunden.

Nach Einführung von PSD2 gibt es auch (mehr oder minder) konkrete Vorgaben, welche TAN-Verfahren zulässig sind.

TAN-Listen und iTAN-Listen wurden beispielsweise aussortiert. Gleiches gilt für die älteren eTAN-Generatoren.

Als ziemlich sicher gelten derzeit appTAN-Verfahren (pushTAN, QR-TAN oder photoTAN) und chipTAN-Verfahren (inkl. chipTAN QR, sm@rtTAN photo, chipTAN USB, bluetoothTAN).

Allerdings – bei pushTAN erlauben viele Banken die gleichzeitige Nutzung der Banking-App und der TAN-App auf dem gleichen Endgerät, was die Idee hinter der streng getrennten Zwei-Faktor-Authentifizierung irgendwo aushebelt.

Hier kann aber der Kunde Abhilfe schaffen, indem er Banking-App und TAN-App auf unterschiedlichen Geräten betreibt.

Ebenfalls noch verwendet wird mobileTAN, mTAN bzw. smsTAN, wobei es hier trotz eines recht hohen Sicherheitsniveaus vermehrt Kritikpunkte gibt (u.a. SIM-Karten-Swapping).

Schon lange verfügbar aber immer noch eines der sichersten TAN-Verfahren dürfte chipTAN sein. Das gilt insbesondere, wenn der TAN-Generator komplett autark betrieben wird (also kein chipTAN USB oder bluetoothTAN).

Zwar muss der Nutzer die TAN in dem Fall von Hand generieren.

Dafür können Angreifer keine Schwachstellen in einem Smartphone-Betriebssystem ausnutzen oder den Übertragungsweg angreifen.

PC oder Smartphone sind schließlich nicht mit dem TAN-Generator verbunden.

In vielen Fällen dürfte jedoch gelten: Die verantwortungsvolle Nutzung von Online-Banking und Mobile-Banking kann eine noch größere Rolle für die Sicherheit spielen als das verwendete TAN-Verfahren.

Patrick Woessner

Ich bin Patrick und hier blogge ich zu verschiedenen Themen rund um Technik, Gadgets und mehr. Früher hatte ich gleich mehrere Blogs zu diesem Thema. Mittlerweile steht Tech Junkies im Mittelpunkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.