- Direktbank Angebote
- Girokonto & Kreditkarte
- Geldanlage & Sparen
- Wertpapiere & Depot
- Kredite & Finanzieren
-
Vorsorgen & Versichern
- Übersicht
- Digitaler VersicherungsOrdner
- Versicherungsvergleicher
- Berufsunfähigkeitsversicherung
- Fahrradversicherung
- Haftpflichtversicherung
- Hausratversicherung
- Kindervorsorge
- Krankenzusatzversicherungen
- Lebensversicherung
- Private Altersvorsorge
- Rechtsschutzversicherung
- Reiseversicherung
- Tierkrankenversicherung
- Unfallversicherung
- Wohngebäudeversicherung
-
Online-Banking
- Übersicht
- Banking-App
- Self-Services
- Formulare
- Banking-Anleitungen
- Sicherheit im Online-Banking
- photoTAN & Aktivierung
- Zugangsschnittstelle (TPP-API)
- Automobile Angebote
- Kundenportal
- Finanzieren & Leasen
- Versichern & mehr
- Mobilität & Services
- VW FS | Auto Abo
- VW FS | Gebrauchtwagen
- Privatkunden
- Privatkunden
- Geschäftskunden
- Handelspartner
- Hilfe & Service
- Wissen
- Newsletter
- Kontakt
So funktioniert die TAN (Transaktionsnummer).
Eine TAN (Transaktionsnummer) ist ein einmalig verwendbarer Sicherheitscode, der zur Autorisierung von Banktransaktionen dient. Sie wird bei Online-Banking oder anderen elektronischen Zahlungsvorgängen eingegeben, um die Transaktion zu bestätigen. TANs können auf verschiedene Weisen bereitgestellt werden, z.B. per SMS (mTAN), durch eine Liste (iTAN) oder durch spezielle Geräte (chipTAN). Durch das TAN-Verfahren erhöht sich die Sicherheit im Online-Banking, um effektiven Schutz vor Datendiebstahl und Datenmissbrauch zu gewährleisten.
In der Vergangenheit nutzten Bankkunden vorwiegend per Post zugesendete TAN-Listen, die dann durch indizierte TAN-Listen, auch als iTAN bezeichnet, ersetzt wurden. Mittlerweile haben Banken und Sparkassen von iTAN auf zum Beispiel chipTAN oder photoTAN umgestellt. Bei diesen Systemen übermitteln die Institute transaktionsbezogene TANs unter Anwendung innovativer Sicherungsverfahren erst kurze Zeit vor der Nutzung. Nach Generierung eines Zahlencodes gibt der Kontoinhaber die ihm zugewiesene TAN ein und schließt den Vorgang im Online-Banking ab.
Welche TAN-Verfahren gibt es?
Im Jahr 1998 führten nur acht Prozent der Verbraucher Banktransaktionen vom Computer aus durch, während 2021 bereits über die Hälfte der Deutschen Online-Banking nutzte – Tendenz steigend. Mehr als 80 Millionen Online-Girokonten locken auch Kriminelle an, die ihre Opfer mit Betrugsmethoden wie Phishing, Pharming und Social Engineering um ihr Geld bringen wollen. Um das zu verhindern, setzen Banken verschiedene TAN-Verfahren mit höchsten Sicherheitsstandards ein, die kontinuierlich optimiert werden. Dazu gehören unter anderem chipTAN, pushTAN, smsTAN, smartTAN und die intelligente Technologie photoTAN. Durch den richtigen Umgang mit den Authentifizierungstechniken können auch Kunden einen wesentlichen Beitrag zur Sicherheit im Online-Banking beitragen. Doch Bankkunden wissen oft nicht, welches TAN-Verfahren das sicherste ist. Deshalb werden hier die gängigsten Methoden vorgestellt.
Die iTAN-Methode.
Der Begriff iTAN steht für „indizierte TAN“ und beschreibt, dass jede Transaktionsnummer auf einer TAN-Liste nummeriert ist. Diese wird im Fachjargon auch als Index bezeichnet. Fordert das System beim Online-Banking beispielsweise zur Eingabe der TAN mit der Ziffer 12 auf, entnehmen Nutzer die Transaktionsnummer der TAN-Liste und tippen sie in das Eingabefeld. Nach diesem Prozess wird die verwendete TAN aus der Liste gestrichen.
Da die TAN-Abfrage zufällig geschieht und nicht für einen bestimmten Auftrag generiert wird, erhöht sich jedoch das Risiko für Phishing. Datendiebe schicken zum Beispiel E-Mails im Namen verschiedener Banken und bitten unter einem fadenscheinigen Vorwand um ein Foto der TAN-Liste, das über einen präparierten Link hochgeladen werden soll. Um den Upload durchzuführen, müssen die Login-Daten zum Online-Banking eingegeben werden. Mit den erbeuteten TANs und den Zugangsdaten können Dritte dann eine Überweisung oder eine andere Transaktion auslösen. Aufgrund dieser Sicherheitsmängel wird das iTAN-Verfahren heutzutage nicht mehr verwendet.
TAN selbst generieren – das bietet chipTAN.
Beim chipTAN-Verfahren erzeugen Kontoinhaber ihre TAN mithilfe eines TAN-Generators selbst. Für die Nutzung des Generators ist zusätzlich eine Bankkarte notwendig. Beide Verfahren sind sowohl von zu Hause aus als auch unterwegs möglich. Beim chipTAN-Verfahren gibt es zwei unterschiedliche Varianten. Bei der optischen Methode gibt der Kunde die Überweisungsdaten nur am PC ein. Sobald der Auftrag abgeschickt ist, öffnet sich eine Grafik, die nach dem Einstecken der Bankkarte in den TAN-Generator über die optische Leseeinheit auf der Rückseite des Geräts ausgelesen wird. Durch die Anzeige im Display des TAN-Generators haben Nutzer eine gute Kontrollmöglichkeit, denn das Gerät zeigt sowohl die Empfänger-Kontonummer als auch den Betrag an. Sind alle Auftragsdetails korrekt, lässt sich die Transaktion über die angezeigte TAN freigeben. Neben dem optischen Verfahren steht Bankkunden die manuelle chipTAN-Methode zur Verfügung, bei der die Dateneingabe per Hand über die TAN-Generator-Tastatur erfolgt.
So funktioniert das pushTAN-Verfahren.
Ähnlich wie bei photoTAN benötigen Anwender für pushTAN ein Smartphone. Hierbei laden sich Kunden eine kostenfreie pushTAN-App auf das Handy, nachdem sie bei ihrer Bank für das pushTAN-Verfahren freigeschaltet wurden. Der entscheidende Vorteil der pushTAN-Technologie: Es sind keine zusätzlichen Geräte erforderlich. Sicherheit gewährleisten die kryptografische Verschlüsselung und eine PIN. Veranlasst der Nutzer einen Online-Banking-Auftrag, wechselt er in die mobile App, loggt sich mit seinen individuellen Zugangsdaten ein und kontrolliert die Zahlungsdaten.
Im Anschluss zeigt die pushTAN-App eine gültige TAN an. Die Transaktionsnummer kann dann via Klick in eine Banking-App oder per Hand in das Banking-Formular übertragen werden. Nach Absenden des Zahlungsauftrags ist die Transaktion beendet. Das pushTAN-Verfahren ist für alle ideal, die Mobile-Banking bevorzugen und TANs jederzeit auch von unterwegs auf ihrem Handy oder Tablet empfangen möchten. Um die Datensicherheit zu gewährleisten, sollten PushTAN-Nutzer selbst daher alle Auftragsdaten sehr genau überprüfen, für pushTAN-App und Banking-App unterschiedliche Passwörter verwenden sowie Sicherheitsprogramme (z. B. Firewall und Anti-Virensoftware) auf dem neuesten Stand halten.
Das smsTAN-Verfahren.
Beim smsTAN-, mTAN- oder mobileTAN-Verfahren wird dem Anwender ebenfalls nur eine mobile Transaktionsnummer mit begrenzter Gültigkeit für einen bestimmten Zahlungsvorgang übermittelt. Die TAN empfangen Kunden auf ihrem Handy innerhalb weniger Sekunden per SMS. Für das mobile TAN-Verfahren eignen sich alle SMS-fähigen Mobiltelefone. Die SMS enthält sämtliche für den Bankauftrag wesentlichen Details zur Überprüfung. Das ist bei einer Überweisung beispielsweise der Geldbetrag und die Kontonummer des Empfängers. Für die Teilnahme am mobileTAN-Verfahren sind weder Updates auf dem Handy noch zusätzliche Softwareinstallationen nötig.
Die Methode ist inzwischen wegen Sicherheitsproblemen laut dem Bundesamt für Sicherheit in der Informationstechnik nicht mehr empfehlenswert. SMS-Nachrichten können abgefangen oder umgeleitet werden, sodass Kriminelle die darin enthaltene mobileTAN für ihre Zwecke missbrauchen können.
Was ist photoTAN?
Immer mehr Kreditinstitute bieten ihren Kunden das innovative Verfahren photoTAN an, bei dem eine farbige Grafik auf dem PC-Monitor in eine TAN umgewandelt wird. Auch bei der Volkswagen Bank kommt das photoTAN-Verfahren zum Einsatz. Um diese Methode nutzen zu können, muss zur TAN-Generierung ein spezielles Lesegerät oder ein mit einer photoTAN-App ausgerüstetes Smartphone vorhanden sein. Nach Eingabe der Auftragsdaten scannt der Anwender per Lesegerät oder photoTAN-App die Barcode-Grafik. Nachdem die Software die Bilddaten decodiert hat, erscheinen im Display des jeweiligen Geräts die Transaktionsdaten wie IBAN und Betrag. Ist die Datenkontrolle abgeschlossen, folgt die Anzeige einer TAN. Diese wird am PC eingegeben, um die Transaktion freizugeben.
Bankkunden profitieren beim photoTAN-Verfahren durch Signatur und Datenverschlüsselung von größtmöglicher Sicherheit, da eine unverfälschte Übermittlung zum Smartphone erfolgt. Die Banken bieten für Kunden, auf deren Handy sich keine photoTAN-App installieren lässt, auch entsprechende Lesegeräte an.
HBCI – Sicherheitsverfahren mit moderner Chiptechnologie.
Neben manchen Privatkunden nutzen vor allem Firmenkunden, die keine spezielle Finanzsoftware zur Verfügung haben, das HBCI-Banking (Home Banking Computer Interface). Dieses System mit Chiptechnologie ist besonders sicher, da der Nutzer beim Online-Banking eine Chipkarte, ein separat an den PC angeschlossenes Verschlüsselungsgerät und zum Signieren eine persönliche HBCI-Geheimzahl einsetzt. Die Chipkarte stellt die Bank eigens für das HBCI-Verfahren aus. Beim Banking benötigen Kunden keine TAN zur Autorisierung. Die Erfassung der Auftragsdaten erfolgt bei den meisten Banken zunächst offline und wird erst im Anschluss online freigegeben.
Zur Kontoverwaltung kommt eine spezielle Finanzsoftware zum Einsatz. Beim Online-Banking mit Chipkarte geben Kunden ihre persönliche PIN über den HBCI-Chipkartenleser ein. Dadurch lässt sich verhindern, dass etwaige Schadsoftware auf dem PC sensible Daten ausspähen kann. Privat- oder Firmenkunden, die das HBCI-Verfahren nutzen wollen, müssen für ihre Konten beim Kreditinstitut die Freischaltung beantragen. Chipkarte und Chipkartenleser sind direkt bei den Banken oder in den Onlineshops der Banken erhältlich.
Wie sieht es mit Risiko und Haftung bei TAN-Verfahren aus?
Viele Bankkunden fragen sich, wie hoch das Haftungsrisiko bei den verschiedenen TAN-Verfahren ist. Ganz gleich, ob mTAN-, photoTAN- oder chipTAN-Verfahren: Verbraucher können frei entscheiden, welches System sie für Transaktionen beim Online-Banking verwenden, sofern ihre Bank dieses anbietet. Privat- und Firmenkunden gehen dabei kein finanzielles Risiko ein – immer vorausgesetzt, es handelt sich nicht um grobe Fahrlässigkeit. Auf dem PC, Tablet oder Smartphone sollte eine aktuelle Antivirensoftware installiert sein.
Außerdem sind die Warnhinweise zum Online-Banking auf den Websites der Geldinstitute zu beachten. Die Banken sind gesetzlich dazu verpflichtet, Kunden über aktuelle Bedrohungslagen wie bestimmte Phishing-Methoden zu informieren.
Ebenso wird erwartet, dass Kunden nicht auf eine offensichtliche Betrugsmasche hereinfallen, bei der sie in einer Phishing-Mail beispielsweise zur Eingabe der Zugangsdaten zum Online-Banking oder von TANs aufgefordert werden. Generell sollten Zugangsdaten weder per E-Mail, noch per Whatsapp oder ähnlichen Diensten geteilt werden. Zudem dürfen Kontoinhaber smsTANs nicht auf einem Handy empfangen, das gleichzeitig für Geldüberweisungen im Browser oder per App genutzt wird. Ausnahme: Es handelt sich um die Verwendung einer TAN-App. Denn in diesem Fall ist ein zusätzlicher gesicherter Übertragungskanal vorhanden. Bei transaktionsgebundenen Systemen wie mTAN oder chipTAN sind Bankkunden verpflichtet, die Korrektheit der Auftragsdetails zu überprüfen.
Beachten Sie auch, dass Bankmitarbeiter auch in persönlichen Telefonaten niemals nach Ihren Zugangsdaten fragen werden – werden Sie also von einem vermeintlichen Bankmitarbeiter nach Zugangsdaten gefragt, können Sie von einem Betrugsversuch ausgehen und sollten entsprechend keinesfalls Daten preisgeben. Weitere Sicherheitshinweise finden Sie hier.
Wer einem Betrug zum Opfer gefallen ist, sollte umgehend das Kreditinstitut informieren, den Zugang zum Online-Banking sowie die Karte sperren lassen und im Anschluss Strafanzeige bei der Polizei stellen. Kartensperrungen sind auch über die kostenlose und deutschlandweit gültige Sperrnotrufnummer 116 116 möglich. Es ist außerdem sinnvoll, einen Virenscan durchzuführen und den Scan-Bericht auszudrucken, um die Installation eines Virenprogramms gegebenenfalls nachweisen zu können. Die meisten Kreditinstitute verlangen allerdings keinen gesonderten Nachweis.