Tan-Verfahren im Über­blick

Die meisten Banken bieten mehrere Verfahren für das Online­banking am Computer an. Wir stellen die gängigsten vor und nennen Stärken und Schwächen. Weitere Hinweise zur Sicherheit beim Online­banking bietet Ihnen der Unter­artikel So geht sicheres Online­banking. Die besten Giro­konten bietet Ihnen unsere großer Vergleich Girokonto. Dort können Sie die verschiedenen Konto-Angebote auch nach der einge­setzten Sicher­heits­technik filtern.

Das iTan-Verfahren

Bei diesem Verfahren bekommen Sie von der Bank eine Papier­liste mit nummerierten Trans­aktions­nummern (Tan) alle getesteten Konten mit iTan-Verfahren.

So geht es. Sie geben die Über­weisungs­daten am Computer ein. Die Bank gibt Ihnen nach dem Zufalls­prinzip vor, mit welcher Tan von der Liste Sie die Über­weisung bestätigen sollen. Die Tan ist nur wenige Minuten und einmalig gültig, dann ist sie verbraucht.

Besonderheit. Manche Banken versprechen, dass sie selbst im Schadens­fall nach­weisen müssen, dass der Kunde grob fahr­lässig gehandelt hat. Dann sind Sie mit diesem Verfahren auf der sicheren Seite.

Fazit. Nied­rige Sicherheit, weil die iTan nicht an die Über­weisungs­daten wie Konto­nummer, Betrag oder Datum gebunden ist.

Vorsicht Betrüger. Sie werden in einer seriös wirkenden E-Mail aufgefordert, auf einen Link zu klicken. Dieser führt auf eine gefälschte Webseite, die dem echten Portal Ihrer Bank täuschend ähnlich sieht. Dort sollen Sie Ihre Zugangs­daten eingeben und auch Tan. Damit können die Betrüger das Konto plündern. Ein anderer Angriff erfolgte unter Laborbedingungen über eine unbe­merkt auf den Computer einge­schleuste Schadsoftware (Trojaner). Sie konnte Konto­nummer und Betrag des Auftrags ändern. Der manipulierte Auftrag wurde mit einer Tan bestätigt, der „Betrüger“ konnte die Über­weisung umleiten.

MobileTan (SMS-Tan)

Bei diesem Verfahren müssen der Bank einmalig mitteilen, an welche Mobil­funk­nummer sie die Tan schi­cken soll. Die Bank bestätigt die Anmeldung per SMS an diese Han­dynummer alle getesteten Konten mit MobileTan-Verfahren.

So geht es. Sie geben die Über­weisungs­daten ein. Die Bank vers­endet Sekunden später eine SMS mit der Tan auf das Handy. Die SMS wieder­holt auch den Betrag und mindestens die letzten vier Stellen der Konto­nummer des Empfängers.

Besonderheit. Wird die Über­weisung von einem Smartphone über dessen Browser getätigt, sollte die Tan zur Sicherheit auf ein zweites Handy geschickt werden.

Fazit. Hohe Sicherheit, weil die Tan nur an die registrierte Mobil­funk­nummer und auf ein separates Gerät geschickt wird und nur für den einen Auftrag gilt.

Vorsicht Betrüger. Täter haben Computer von Bank­kunden mit Schadsoftware infiziert, um Zugangs­daten und Mobil­funk­nummer auszuspähen. Dann bestellten sie in deren Namen eine neue Sim-Karte für das Handy. Andere Betrüger gaben sich als Mitarbeiter von Mobil­funk­shops aus und bestellten wegen angeblichem Verlust eine Ersatz-Sim-Karte für „ihren Kunden“. In beiden Fällen konnten die Betrüger dann die zur Bestätigung notwendige MobileTan abfangen und selbst Aufträge ausführen.

ChipTan

Bei diesem Verfahren müssen Sie Ihre Girocard für das Verfahren registrieren lassen und bei Ihrer Bank einen Tan-Generator anfordern oder ihn im Fach­handel kaufen (10 bis 15 Euro) alle getesteten Konten mit ChipTan-Verfahren.

So geht es. Üblich ist das Flicker-Code-Verfahren. Dafür geben Sie die Über­weisungs­daten am Computer ein. Diese werden in ein Schwarz-Weiß-Bild mit fünf Balken, ähnlich einem Strichcode, umge­wandelt. Sie müssen den Tan-Generator nun vor die wechselnd aufleuchtenden Balken halten. Die Signale über­tragen die Über­weisungs­daten an den Generator und erzeugen eine Tan.

Besonderheit. Wenn das optische Auslesen nicht funk­tioniert, können Sie die Tan manuell erzeugen: Sie tippen die Über­weisungs­daten und einen Start­code in das Gerät.

Fazit. Sehr hohe Sicherheit, weil die Tan auftrags­bezogen auf dem Tan-Generator erzeugt wird und nur mit der Girocard funk­tioniert.

Vorsicht Betrüger. Zunächst infizieren die Betrüger Ihren Computer unbe­merkt mit einer Schadsoftware, mit der sie fest­stellen können, ob sich ein Angriff bei Ihnen lohnt. Dann bekommen Sie zum Beispiel eine Meldung, dass ein ChipTan-Test notwendig sei, Sie falsch über­wiesenes Geld zurück­schi­cken sollen oder per Über­weisung an einem Gewinn­spiel teilnehmen können. Wenn Sie die detaillierten Anweisungen befolgen, geben Sie dem Betrüger die Möglich­keit, im Hintergrund unbe­merkt eine Über­weisung zu machen.

PhotoTan

Für die PhotoTan benötigen Sie ein spezielles Lesegerät (zirka 15 Euro), das Sie bei der Bank registrieren lassen müssen alle getesteten Konten mit PhotoTan-Verfahren.

So geht es. Nachdem Sie die Über­weisungs­daten am Computer einge­geben haben, wird daraus eine farbige Grafik auf dem Bild­schirm erzeugt, die Sie mit dem Lesegerät scannen. Das Lesegerät entschlüsselt die Bild­daten und erzeugt die Tan.

Besonderheit. Sie können statt des Lesegeräts eine PhotoTan-App auf Ihr Smartphone laden und akti­vieren. Dann erscheint nach der Eingabe der Über­weisungs­daten eine Schalt­fläche für die Anforderung der Tan per Photo-App.

Fazit. Sehr hohe Sicherheit, wenn die Tan mit dem zuvor registrierten Lesegerät erzeugt wird.

Vorsicht Betrüger. Bisher ist es nur Wissenschaft­lern vor längerer Zeit gelungen, das Verfahren zu knacken. Sie haben das Smartphone zuvor mit Schadsoftware infiziert. Bei dem Angriff waren Banking-App und PhotoTan-App auf demselben Gerät installiert. In diesem Fall wurden die Daten ohne Auslesen von App zu App weiterge­geben. Das machte das Verfahren angreif­bar.

AppTan (Push-Tan oder Secu­reGo)

Für das AppTan-Verfahren müssen Sie eine kostenlose spezielle App auf Ihr Smartphone laden und akti­vieren. Sie bekommen dafür von der Bank einen Anmelde­namen und eine Zahl für die Legitimation oder einen QR-Code alle getesteten Konten mit AppTan-Verfahren.

So geht es. Nachdem Sie die Über­weisungs­daten am Computer einge­geben haben, starten Sie die pass­wort­geschützte App. Dort können Sie die Auftrags­daten noch einmal prüfen und im Anschluss eine Tan anfordern.

Besonderheit. Es ist möglich, die Tan auf demselben mobilen Gerät zu empfangen, auf dem auch die Banking-App ist, da sie im Smartphone isoliert von anderen Apps betrieben wird.

Fazit. Hohe Sicherheit, wenn Banking-App und AppTan auf zwei voneinander unabhängigen Geräten betrieben werden.

Vorsicht Betrüger. Bisher ist es nur Wissenschaft­lern unter Laborbedingungen gelungen, das Verfahren zu knacken. Sie haben das Smartphone mit Schadsoftware infiziert und konnten dadurch unbe­merkt eine Über­weisung auf ein anderes Konto umleiten und auch den Über­weisungs­betrag ändern.

Jetzt freischalten

TestGiro­konto22.08.2017
1,50 €
Zugriff auf Informationen für 245 Produkte (inkl. PDF).

Wie möchten Sie bezahlen?

  • Unser Tipp
    test.de-Flatrate

    Freier Zugriff auf alle Testergebnisse und Online-Artikel für 7 € pro Monat oder 50 € im Jahr. Abonnenten von test oder Finanztest zahlen die Hälfte.

    Flatrate neu erwerben

  • Diesen Artikel per Kreditkarte kaufen
  • Diesen Artikel per PayPal kaufen
  • Diesen Artikel per Handy kaufen
  • Gutschein einlösen
Preise inkl. MwSt.
  • kauft alle Testprodukte anonym im Handel ein,
  • nimmt Dienstleistungen verdeckt in Anspruch,
  • lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
  • ist vollständig anzeigenfrei,
  • erhält nur rund 9 Prozent ihrer Erträge als öffentlichen Zuschuss.

Dieser Artikel ist hilfreich. 216 Nutzer finden das hilfreich.