Skip to main content

Die verschiedenen TAN-Verfahren und ihre Vor- und Nachteile

Die heutige Generation der Menschen, die mit Smartphone und Laptop aufgewachsen ist, kann sich kaum noch vorstellen, dass es Zeiten gab, in denen Banking nicht online war. Dabei ist es heute noch möglich, einen sogenannten Überweisungsträger auszufüllen. Nur: niemand wird das noch tun, in Zeiten, in denen man eine Überweisung online durchführen kann. Damit dabei auch alles sicher vor Schindluder ist, druckt die Bank, deren Kunde man ist, einen versiegelten Brief aus mit einer Liste von Transaktionsnummern. Jede Nummer ist einzigartig und auch nur einmal gültig. Am Ende der Überweisung wird diese Nummer eingetippt und von der Liste gestrichen. Der zentrale Rechner der Bank gleicht die Nummern ab und erkennt so, dass die Überweisung auch wirklich vom Kontoinhaber getätigt wurde.

Die verschiedenen TAN-Verfahren und ihre Vor- und Nachteile

Meine Tochter tippt mir gerade auf die Schulter, um mich darauf hinzuweisen, dass es schon lange keine Listen mehr aus Papier mit TANs gibt, die mit dem Kuli ausgestrichen werden. Recht hat sie. Aber ich bin immer noch in Gedanken in der Vergangenheit.

Online-Banking im Wandel der Zeiten

Online-Banking im Wandel der Zeiten 1

TAN-Listen stammen aus der Zeit vor dem Internet. Online-Banking bedeutete damals, vor einem BTX-Terminal zu sitzen, das sich über die Telefonleitung in den Zentralrechner der Bundespost einwählte. Dafür waren übrigens schon die ersten Gebühreneinheiten fällig: je nach Tageszeit entweder alle acht oder alle zwölf Minuten eine Einheit à 22,7 Pfennig. War man mit dem Rechner verbunden, waren pro Minute weitere 5 Pfennig zu entrichten. Alle Daten mussten von Hand eingegeben werden, was Zeit kostete und jeden Überweisungsvorgang teuer machte – die Gebühren der Bank noch nicht mit eingerechnet. Aus diesem Grund wurde die erste Banking-Software veröffentlicht. In der ersten Version konnte der User alle TANs aus der Liste abtippen und in der Software hinterlegen. Überweisungen füllte er offline aus und speicherte sie ebenfalls. Dann teilte er dem Programm mit, zum Mondscheintarif den BTX-Rechner anzuwählen und ratz-fatz alle Überweisungen zu übertragen – übrigens unverschlüsselt. Das sparte zumindest Verbindungsgebühren, zudem konnte man sich ausreichend Zeit lassen, die Überweisungen vorher auf Richtigkeit zu prüfen.

BIP Vorteil

BTX wurde übrigens nicht auf einen Schlag vom Internet ersetzt. Zuerst versuchte die zur T-Online mutierte Bundespost mit einer eigenen grafischen Oberfläche namens ‚KIT‘ – Kernsoftware für intelligente Terminals – das Onlinegeschäft an sich zu reißen. KIT setzte auf dem BTX-Protokoll auf, war entsprechend langsam und noch teurer – daher auch entsprechend kurzlebig. Es kam dann doch das Internet und die zugehörigen grafischen Benutzeroberflächen, es kamen die ersten Webbrowser und es kam bequemes Online-Banking mit Point-and-Click-Bedienung.

TANs wurden allerdings immer noch von einer Liste abgelesen und durchgestrichen.

Sicherheit in Kombination mit Nutzerfreundlichkeit

Sicherheit in Kombination mit Nutzerfreundlichkeit 1

TAN-Listen waren nicht nur unhandlich, sondern auch unsicher. TAN-Listen konnten gestohlen werden, oder es wurden TANs mittels gefälschter Banking-Webseiten abgegriffen. Dieses Verfahren heißt ‚Phishing‘. Mit dem iTAN-Verfahren wurde diese Sicherheitslücke geschlossen, wenngleich nicht besonders gut. Zusätzliche Sicherheit wurde aufgebaut, in dem von der TAN-Liste nur eine einzige TAN gültig war, dessen Positionsnummer von der Banking-Seite angezeigt wurde.

Trotz aller Unsicherheiten und Unahndlichkeit dauerte es bis ins Jahr 2019, bis der letzte Anbieter dieses Verfahren ersetzte. Es ist zu vermuten, dass dies auch nur aufgrund der EU-Richtlinie ‚Payment Services Directive 2‘ zum Erliegen kam, andernfalls würden möglicherweise noch heute verschiedene Banken an ihren TAN-Listen hängen.

Elektronische Verfahren brachten hier sowohl mehr Sicherheit als auch mehr Komfort für den Nutzer.

Auf der einen Seite wurde das mTAN-Verfahren eingeführt. Dabei wird schlicht und ergreifend die TAN für jede Transaktion auf dem Bankserver generiert und per SMS ans Handy des Nutzers geschickt. Gleichzeitig muss er sich, wie immer schon, mit einer PIN auf der Banking-Oberfläche seines Kontos einloggen. Auch dieses Verfahren hat Lücken, wird aber als sicher genug eingestuft, um bis zum heutigen Tag gültig und erlaubt zu sein. Aus Sicht der Sicherheit wird als positiv gewertet, dass ein Angreifer zwei verschiedene Geräte unter seine Kontrolle bringen müsste, um erfolgreich Geld zu verschieben.

Für die Benutzerfreundlichkeit spricht auf jeden Fall der Umstand, dass die meisten Menschen ihr Mobiltelefon immer bei sich haben, und auf diese Weise auch spontan und unterwegs eine Überweisung abwickeln könnten.

Eine Weiterführung des mTAN-Verfahrens sind die Push-TANs. Dabei wird die Sicherheit zusätzlich verstärkt, indem auf dem Mobiltelefon – Smartphone oder Tablet – eine App in Verwendung ist, die an sich autorisiert sein muss. Auch hier ergibt sich das Problem, dass ein Angreifer das Gerät übernehmen kann, in dem er es schlicht stiehlt, doch die Übernahme per Software-Hack ist ungleich schwieriger als beim mTAN-Verfahren.

Bei der Nutzerfreundlichkeit streiten sich die handybasierten Verfahren mit den alternativ von den Banken herausgegebenen TAN-Generatoren. Dies sind kleine elektronische Geräte, die in der Lage sind, auf Anforderung eine neue TAN zu generieren, die im gleichen Zuge durch die Bank validiert wird. Sowohl mit dem Smartphone als auch mit einem TAN-Generator muss der User die TAN per Hand ins entsprechende Feld der Banking-Seite eintippen.

Um wirklich individuell und auf eine bestimmte Transaktion bezogen zu sein, muss der TAN-Generator mit einem Merkmal gefüttert werden, das exakt auf die Transaktion passt, zum Beispiel die Kontonummer des empfangenden. Nur wenn diese übereinstimmt, wird die frisch generierte TAN auch akzeptiert, was es einem möglichen Angreifer nahezu unmöglich macht, Geld an ein Konto umzuleiten, das nicht vom Nutzer beabsichtig und gewollt ist.

Für diese erste Form der TAN-Generatoren gab es Lob und Auszeichnungen von fachlicher Seite, da wirklich eine große Sicherheit gewährleistet war. Ein kleiner Schönheitsfehler war auf der Seite der Nutzerbequemlichkeit zu finden, denn die verlässliche Verbindung zwischen Transaktion und Banking-Webseite konnte nur hergestellt werden, in dem der User z.B. die Kontonummer des Empfängers, oder eine andere von der Banking-Seite erzeugte Kontrollnummer von Hand eintippte.

Ein weiteres Merkmal bei der Sicherheit besteht darin, die vollständigen Auftragsdaten zusätzlich zur Banking-Seite in den TAN-Generator einzugeben. Dies ist für den Nutzer nahezu unzumutbar, weshalb verschiedene Verfahren eingeführt wurden, auf optischem Wege diese Daten zu übertragen. Frühe Versionen hatten eine blinkende Grafik, die eine einer Serie von Binärcodes ähnliche Sequenz aus 5 blinkenden Feldern an optische Sensoren des TAN-Generators übermittelte, den man dazu mit den Sensoren direkt an den Bildschirm zu halten hatte.

Durch TAN-Generatoren mit einem eingebauten Chip-Lesegerät wurde die Sicherheit weiter gesteigert. Bei diesen Modellen wird die zum Bankkonto gehörende EC-Karte mit Chip eingesteckt, sonst ist keine Überweisung möglich.

BIP Wichtig

Eine große Vereinfachung für den Nutzer besteht in TAN-Generatoren, die zweidimensionale Barcodes lesen können. Hier sind alle Daten der Transaktion gespeichert und werden vom Generator in einem Augenblick übertragen. Im Vergleich dazu dauert die Übertragung durch die Flickergrafik je nach eingestellter Geschwindigkeit einige Sekunden und ist zudem fehleranfällig – in Abhängigkeit von der Qualität des Monitors und der umgebenden Lichtverhältnisse.

Zuletzt ist auch noch eine Variante auf den Markt gekommen, die eine App auf dem Smartphone erfordert, und bei der ebenfalls ein 2D-Code vom QR-Leser des Mobiltelefons aufgenommen wird. Mit diesen beiden letzten Verfahren ist für ein derzeit als optimal eingeschätztes Level an Sicherheit gesorgt.

Ein Makel an smartphonebasierten TAN-Systemen ist, dass diejenigen Menschen ausgeschlossen sind, die gar kein Smartphone besitzen oder verwenden. Bei den TAN-Generatoren wurde hingegen kritisiert, dass noch ein zusätzliches Gerät angeschafft werden muss, dessen Kosten meist zu Lasten des Bankkunden gehen. Mit diesen beiden Verfahren besteht für den Kunden aber zumindest die Wahl der jeweils angenehmeren Methode.

Für all diese verschiedenen Varianten wurden von den Geldinstituten die unterschiedlichsten Bezeichnungen verwendet, die wir hier auflisten und erklären wollen, damit keine Verwirrung aufkommt.

TAN-Listen

TAN-Listen 1

Nur der Vollständigkeit halber genannt. Listen aus Papier mit TANs, die vom Nutzer in beliebiger Reihenfolge verwendet werden konnten. Nicht mehr erlaubt.

iTAN (iTAN/BEN oder iTANplus)

Es wird noch eine Bestätigungsnummer (BEN) mit angezeigt, die der Positionsnummer der TAN auf der Liste entspricht – nur diese TAN darf verwendet werden. Dieses Verfahren ist ebenfalls nicht mehr zulässig.

mTAN (SMS-TAN oder mobileTAN)

Übertragung der für die Transaktion notwendigen TAN via SMS an das Handy; TAN ist nur für eine kurze Zeit gültig.

PushTAN

Eine zugehörige App wird auf dem Smartphone installiert. Die TAN wird direkt an die App übertragen und von Hand auf der Banking-Seite eingegeben.

eTAN

Erstes Verfahren mittels eines TAN-Generators, der die TAN anhand eines internen Schlüssels und dem von der Banking-Seite angezeigten Kontroll-Merkmals erzeugt.

eTAN plus (auch ChipTAN manuell oder smartTAN plus)

Die Sicherheit der eTAN wird kombiniert mit einem Kartenlesegerät, das die Bank- oder EC-Karte erforderlich macht, die wiederum einen einzigartigen und geheimen Schlüssel enthält. Dabei werden die vollständigen Daten der Transaktion in den TAN-Generator eingegeben.

ChipTAN komfort oder smartTAN optic

Die Daten der Transaktion werden über eine ‚Flickergrafik‘ optisch an den TAN-Generator übertragen. Der Nutzer kann diese noch einmal kontrollieren und erhält dann eine einzigartige TAN, die auf der Banking-Seite eingegeben wird.

PhotoTAN und QR-TAN

Das sicherste und bequemste aller Verfahren. Die Transaktionsdaten werden über einen 2D-Barcode, einen QR-Code oder eine spezielle farbige Grafik an das Smartphone mit App oder den speziellen TAN-Generator durchgegeben. Die Daten werden vom Nutzer kontrolliert und bestätigt, danach generiert die App bzw. der TAN-Generator die TAN, die vom Nutzer per Hand eingegeben wird.

Vorteile für die Bank

Vorteile für die Bank 1

Grundsätzlich hat die Bank ein großes Interesse an störungsfreier Sicherheit. Erfolgreiche Betrugsversuche werden in den meisten Fällen zu Lasten der Bank gewertet, die für die Verluste haftet. Ein sicheres und bequemes Verfahren stellt überdies eine gute Werbeaussage für die moderne Bank dar.

Für den Kunden entstehen bequeme und sichere Möglichkeiten, Bankgeschäfte von daheim aus zu tätigen. Es darf dabei aber nicht außer Acht gelassen werden, dass auch die Bank große Vorteile davon hat, wenn Bankgeschäfte von Computern, und nicht von Angestellten an einem Schalter abgewickelt werden. Dabei spielt es eine kleine Rolle, wie aufwändig die dafür notwendige IT-Infrastruktur ist, im Vergleich zu den Kosten (und den Fehlern), die ein Heer von Angestellten verursacht.

Fazit

Fazit 1

Von der ersten Möglichkeit des Bankings über BTX bis zu heutigen photoTAN-Verfahren sind fast 30 Jahre vergangen, in denen sich sowohl in punkto Bequemlichkeit, als auch bei der Sicherheit einiges getan hat, bis hin zur nahezu vollständigen Perfektion.

Der nächste Schritt wird die Auswertung biometrischer Merkmale sein. Dies kann durch Stimmerkennung, Fingerabdruck oder Gesichts- bzw. Retinascanning verwirklicht werden. Angesichts der bereits bestehenden hohen Sicherheit der vorhandenen Methoden sehen Kritiker in dieser Entwicklung eine Durchleuchtung der Privatsphäre, die für überflüssig bzw. gefährlich gehalten wird. Ob eine weitere Aufrüstung auf Seiten der Betrüger solche Methoden dereinst nötig machen wird, das werden wir in der Zukunft erleben.


Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Do NOT follow this link or you will be banned from the site!