Im Zeitalter der Digitalisierung ist Onlinebanking aus unserem Alltag nicht mehr wegzudenken. Es bietet uns unschätzbare Bequemlichkeit und Flexibilität, sei es beim Bezahlen von Rechnungen, Überprüfen des Kontostands oder der Durchführung von Überweisungen. Doch mit dieser Bequemlichkeit kommt auch eine erhöhte Verantwortung für die persönliche Sicherheit. Eine der zentralen Fragen, die sich viele Nutzer stellen, lautet: Welches der vielen verfügbaren TAN-Verfahren ist das sicherste für mich? ChipTAN, pushTAN, PhotoTAN, QR-TAN – die Auswahl ist groß und die Unterschiede sind oft nicht sofort ersichtlich. Dieser Artikel beleuchtet die gängigsten Methoden, erklärt ihre Funktionsweisen, beleuchtet ihre Stärken und Schwächen und hilft Ihnen dabei, das sicherste TAN-Verfahren für Ihre individuellen Bedürfnisse zu finden.
Die europäische Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) hat die Anforderungen an die Sicherheit im Onlinebanking in den letzten Jahren deutlich verschärft. Das Ziel: Transaktionen noch sicherer zu machen und Betrug zu minimieren. Dies führte dazu, dass ältere, als weniger sicher eingestufte Verfahren wie die reine SMS-TAN (mTAN) von vielen Banken eingestellt oder durch robustere Alternativen ersetzt wurden. Doch welche der neuen oder weiterentwickelten Methoden bietet Ihnen den besten Schutz vor Cyberkriminalität?
Warum ist die Wahl des richtigen TAN-Verfahrens so wichtig?
Die TAN (Transaktionsnummer) ist Ihr digitaler Schlüssel zu Ihren Finanzen. Sie ist das zweite Element einer Zwei-Faktor-Authentifizierung und bestätigt, dass Sie tatsächlich die Person sind, die eine Transaktion autorisieren möchte. Ist dieses Verfahren kompromittiert, können Betrüger in Ihrem Namen Überweisungen tätigen, Abbuchungen genehmigen oder andere Finanzgeschäfte durchführen. Die Folgen reichen von finanziellen Verlusten bis hin zu Identitätsdiebstahl. Daher ist die sorgfältige Auswahl und korrekte Anwendung Ihres TAN-Verfahrens entscheidend, um Ihr Geld und Ihre persönlichen Daten zu schützen.
Es geht nicht nur um die technische Ausgereiftheit des Verfahrens, sondern auch um die sogenannte „Usability“ – also wie einfach und intuitiv es für Sie als Nutzer zu handhaben ist. Denn das sicherste Verfahren nützt nichts, wenn es so umständlich ist, dass es zu Fehlern führt oder umgangen wird. Die goldene Regel lautet: Bequemlichkeit und Sicherheit müssen Hand in Hand gehen, damit das System wirklich funktioniert.
Die gängigsten TAN-Verfahren im Überblick:
Lassen Sie uns die am weitesten verbreiteten TAN-Verfahren genauer unter die Lupe nehmen und ihre spezifischen Merkmale hervorheben.
ChipTAN (oder SmartTAN, Flickercode)
Wie es funktioniert: ChipTAN ist ein hardwarebasiertes Verfahren. Sie benötigen ein spezielles Lesegerät (oft auch als TAN-Generator bezeichnet), Ihre Girocard (EC-Karte) und Ihr Onlinebanking-Portal. Nachdem Sie Ihre Überweisungsdaten im Onlinebanking eingegeben haben, generiert das System einen Code (manchmal ein Flickercode, der über das Display des Generators abgelesen wird, oder eine manuelle Eingabe). Diesen Code oder die Transaktionsdaten geben Sie in den TAN-Generator ein, der dann eine einzigartige TAN berechnet. Diese TAN geben Sie ins Onlinebanking ein, um die Transaktion zu bestätigen.
- Sicherheitsmerkmale: Der große Vorteil von ChipTAN liegt in der strikten Gerätetrennung. Das Lesegerät ist ein vom Computer oder Smartphone unabhängiges Gerät. Es kann nicht mit Malware infiziert werden, da es keine Verbindung zum Internet hat. Die Transaktionsdaten (Betrag, Empfänger-IBAN) werden direkt auf dem Display des TAN-Generators angezeigt, sodass Sie genau sehen, was Sie bestätigen („Was-Sie-Sehen-Was-Sie-Bestätigen” – WYSIWYS). Die TAN wird einzigartig für jede Transaktion generiert und ist nur für wenige Minuten gültig.
- Vorteile: Sehr hohe technische Sicherheit, da der TAN-Generator offline und manipulationssicher ist. Schutz vor vielen Formen von Phishing und Trojanern, da der Nutzer die Daten vor der Bestätigung auf einem externen Gerät verifiziert. Kein Smartphone für die TAN-Erzeugung erforderlich.
- Nachteile: Erfordert ein separates Gerät (TAN-Generator), das man stets dabei haben muss. Kann als weniger komfortabel empfunden werden als App-basierte Lösungen.
pushTAN (oder AppTAN, mobileTAN via App)
Wie es funktioniert: Bei pushTAN ist Ihr Smartphone der Schlüssel. Nachdem Sie Ihre Transaktionsdaten im Onlinebanking eingegeben haben, erhalten Sie eine Push-Benachrichtigung auf Ihr registriertes Smartphone. In der speziellen Banking-App sehen Sie die Details der Transaktion (Empfänger, Betrag) und können diese dann durch Eingabe einer PIN oder mittels biometrischer Daten (Fingerabdruck, Gesichtserkennung) freigeben.
- Sicherheitsmerkmale: Die Kommunikation zwischen Ihrer Bank und der App ist in der Regel stark verschlüsselt. Die Transaktionsdaten werden direkt in der App angezeigt, was ebenfalls dem WYSIWYS-Prinzip folgt. Viele pushTAN-Apps sind zusätzlich durch eine Gerätebindung und eine spezielle App-PIN geschützt.
- Vorteile: Hoher Komfort, da das Smartphone meist ohnehin griffbereit ist. Schnelle und intuitive Bestätigung. Transparente Anzeige der Transaktionsdetails.
- Nachteile: Die Sicherheit hängt stark von der Sicherheit Ihres Smartphones ab. Ist Ihr Smartphone mit Malware infiziert, die die App manipuliert oder die Anzeige fälscht, könnte das Verfahren kompromittiert werden. Das Risiko einer „Single-Point-of-Failure“ (ein Gerät für alles) besteht, wenn Login und TAN-Freigabe auf demselben Gerät erfolgen. Eine separate TAN-App (z.B. der Sparkasse oder Volksbanken) von der Hauptbanking-App zu nutzen, kann hier zusätzliche Sicherheit schaffen, ist aber nicht immer Standard.
QR-TAN / PhotoTAN (oft eine Variation von ChipTAN oder pushTAN)
Wie es funktioniert: Dieses Verfahren kombiniert Elemente aus ChipTAN und pushTAN. Nach der Eingabe der Überweisungsdaten generiert das Onlinebanking einen QR-Code oder eine Grafik (PhotoTAN). Diesen Code scannen Sie entweder mit einem speziellen TAN-Generator oder mit einer speziellen Banking-App auf Ihrem Smartphone. Der Generator oder die App entschlüsselt den Code, zeigt die Transaktionsdetails an und generiert dann eine TAN, die Sie zur Bestätigung eingeben.
- Sicherheitsmerkmale: Ähnlich wie ChipTAN oder pushTAN, je nachdem, ob ein dedizierter Hardware-Generator oder eine Smartphone-App verwendet wird. Der Scan-Prozess stellt sicher, dass die Transaktionsdaten korrekt an das Bestätigungsgerät übertragen werden, ohne manuelle Eingabe.
- Vorteile: Geringere Fehleranfälligkeit durch den Scan-Prozess im Vergleich zur manuellen Eingabe. Hohe Bequemlichkeit bei App-basierter Nutzung.
- Nachteile: Bei App-basierter Lösung gelten ähnliche Risiken wie bei pushTAN (Smartphone-Sicherheit). Bei Hardware-Lösung die Notwendigkeit eines zusätzlichen Geräts.
SMS-TAN (mTAN) – (Wird nicht mehr empfohlen)
Wie es funktioniert: Sie geben Ihre Transaktionsdaten im Onlinebanking ein und erhalten eine TAN per SMS auf Ihr registriertes Mobiltelefon. Diese TAN geben Sie dann im Onlinebanking ein.
- Sicherheitsmerkmale: Die SMS-TAN galt lange als Standard, wird aber heute als weniger sicher eingestuft.
- Vorteile: Benötigt keine spezielle Hardware oder App, nur ein Mobiltelefon. War sehr verbreitet und einfach zu nutzen.
- Nachteile: Hohe Anfälligkeit für SIM-Swap-Angriffe (bei denen Betrüger Ihre Rufnummer auf eine andere SIM-Karte umleiten) und Malware auf dem Smartphone, die SMS abfangen kann. Zudem können Phishing-Angriffe leichter dazu führen, dass Nutzer ihre TANs auf gefälschten Websites eingeben. Viele Banken haben dieses Verfahren aufgrund der erhöhten Sicherheitsrisiken und der PSD2-Anforderungen eingestellt. Es wird dringend empfohlen, dieses Verfahren nicht mehr zu nutzen, falls Ihre Bank es noch anbietet.
Biometrische Verfahren (Fingerabdruck, Gesichtserkennung)
Wie es funktioniert: Biometrische Daten werden meist nicht als alleiniges TAN-Verfahren genutzt, sondern zur Absicherung von pushTAN oder für den Login in die Banking-App. Anstatt eine PIN oder ein Passwort einzugeben, bestätigen Sie Transaktionen oder den Login mit Ihrem Fingerabdruck oder per Gesichtserkennung.
- Sicherheitsmerkmale: Biometrische Verfahren sind sehr bequem und bieten eine starke Authentifizierung für den Zugriff auf das Gerät oder die App. Sie sind schwer zu fälschen.
- Vorteile: Höchster Komfort, sehr schnell und intuitiv. Erhöht die Sicherheit bei Geräte- oder App-Zugriff.
- Nachteile: Einmal kompromittiert, können biometrische Daten nicht einfach geändert werden. Die Sicherheit hängt stark von der Qualität des Sensors und der Softwareimplementierung ab. Wichtig: Biometrie ersetzt die TAN nicht, sondern ist meist ein sekundärer Faktor zur Freigabe innerhalb eines TAN-Verfahrens.
Was ist das sicherste TAN-Verfahren für SIE? – Eine individuelle Betrachtung
Die Frage nach dem „sichersten” Verfahren hat keine pauschale Antwort. Es hängt stark von Ihren persönlichen Präferenzen, Ihrer technischen Affinität und Ihrem Nutzungsverhalten ab. Dennoch lassen sich Empfehlungen aussprechen:
- Für maximale technische Sicherheit und Unabhängigkeit vom Smartphone: ChipTAN
Wenn Sie absolute Priorität auf die Trennung von Gerät (Computer) und Authentifizierung legen und keine Angst vor einem zusätzlichen Gerät haben, ist ChipTAN (mit Hardware-Generator) die beste Wahl. Es ist am widerstandsfähigsten gegen die meisten Online-Angriffe, da der TAN-Generator keine Online-Verbindung hat und die Transaktionsdaten direkt auf seinem Display verifiziert werden. Es ist ideal für Nutzer, die ihr Smartphone nicht für Bankgeschäfte nutzen möchten oder können.
- Für eine exzellente Balance aus Sicherheit und Komfort: pushTAN
Für die meisten Nutzer stellt pushTAN eine hervorragende Kombination aus hoher Sicherheit und größtem Komfort dar. Die schnelle Freigabe per App ist sehr praktisch. Voraussetzung ist jedoch ein Smartphone, das stets aktuell gehalten wird (Betriebssystem, Apps) und dessen Sicherheit ernst genommen wird. Nutzen Sie stets die neueste Version der Banking-App und vermeiden Sie es, Transaktionen auf einem potenziell kompromittierten Gerät (z.B. öffentlicher PC, ungeschütztes WLAN) durchzuführen.
- Vorsicht bei App-basierten Lösungen und Smartphone-Sicherheit:
Egal ob pushTAN oder QR-TAN per App: Die Sicherheit hängt maßgeblich von der Sicherheit Ihres Smartphones ab. Achten Sie auf folgende Punkte:
- Halten Sie das Betriebssystem (iOS/Android) und alle Apps (insbesondere die Banking-App) stets aktuell.
- Installieren Sie Apps nur aus den offiziellen App Stores.
- Nutzen Sie eine Displaysperre (PIN, Fingerabdruck, Gesichtserkennung).
- Seien Sie vorsichtig mit öffentlichen WLAN-Netzen für Bankgeschäfte.
- Vermeiden Sie „Rooting“ oder „Jailbreaking“ Ihres Smartphones, da dies die Sicherheitsmechanismen des Geräts untergräbt.
Letztendlich ist das „sicherste” Verfahren das, welches Sie gewissenhaft und korrekt anwenden und bei dem Sie sich am wohlsten fühlen. Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Selbst das beste Verfahren kann versagen, wenn Sie auf Phishing-Angriffe hereinfallen oder Ihre Zugangsdaten leichtfertig preisgeben.
Tipps für maximale Sicherheit im Onlinebanking, unabhängig vom TAN-Verfahren:
Zusätzlich zur Wahl des richtigen TAN-Verfahrens gibt es allgemeingültige Regeln, die Ihre Sicherheit im Onlinebanking massiv erhöhen:
- Software immer aktuell halten: Sowohl Ihr Betriebssystem (Windows, macOS, iOS, Android) als auch Ihr Browser und Ihre Banking-Apps sollten immer auf dem neuesten Stand sein, um bekannte Sicherheitslücken zu schließen.
- Starke Passwörter nutzen: Verwenden Sie für Ihr Onlinebanking ein langes, komplexes und einzigartiges Passwort, das Sie nirgendwo anders nutzen. Ein Passwort-Manager kann hier helfen.
- Vorsicht vor Phishing: Banken fragen niemals nach Ihren Zugangsdaten, Passwörtern oder TANs per E-Mail, SMS oder Telefon. Seien Sie extrem misstrauisch bei solchen Anfragen. Klicken Sie niemals auf Links in verdächtigen E-Mails. Geben Sie die URL Ihrer Bank immer selbst in den Browser ein.
- Regelmäßige Kontrolle der Kontobewegungen: Überprüfen Sie regelmäßig Ihre Kontoauszüge und Umsätze. Melden Sie Unregelmäßigkeiten sofort Ihrer Bank.
- Sichere Internetverbindung: Nutzen Sie für Bankgeschäfte bevorzugt Ihr Heimnetzwerk oder mobile Daten. Vermeiden Sie öffentliches WLAN, da dieses unsicher sein kann.
- Bank-Webseite immer prüfen: Achten Sie auf das „https://“ am Anfang der URL und das Schloss-Symbol im Browser. Dies zeigt an, dass die Verbindung verschlüsselt ist.
- Niemals TANs weitergeben: Eine TAN ist immer zur Bestätigung Ihrer Transaktion gedacht und niemals für Rückfragen der Bank oder Dritter.
- Antivirus-Software verwenden: Auf Ihrem Computer sollten Sie stets eine aktuelle Antiviren-Software einsetzen. Für Smartphones ist dies weniger kritisch, aber auch hier gibt es Schutz-Apps.
Fazit
Die Sicherheit im Onlinebanking ist ein Zusammenspiel aus technologisch fortschrittlichen Verfahren und Ihrem eigenen, verantwortungsbewussten Verhalten. Während ChipTAN mit einem separaten Hardware-Generator die höchste technische Isolation und damit eine sehr hohe Sicherheit bietet, ist pushTAN für die meisten Nutzer eine ausgezeichnete Wahl, die Komfort und Schutz effektiv verbindet – vorausgesetzt, das zugrundeliegende Smartphone ist ebenfalls gut geschützt. Verfahren wie SMS-TAN gelten hingegen als veraltet und sollten gemieden werden.
Entscheidend ist, dass Sie sich mit dem von Ihnen gewählten TAN-Verfahren wohlfühlen, es verstehen und stets die Augen offen halten für potenzielle Bedrohungen. Bleiben Sie informiert, aktualisieren Sie Ihre Software und seien Sie skeptisch gegenüber ungewöhnlichen Anfragen. So sichern Sie Ihre Finanzen bestmöglich im digitalen Raum ab.