Das herkömmliche TAN-Verfahren hat beim Online-Banking längst ausgedient, stattdessen sind pushTAN, smsTAN und chipTAN deutlich sicherere Alternativen. Doch worin genau unterscheiden sich die Verfahren, vor allem in puncto Sicherheit? Wir klären auf.
Zu Beginn war die Online-Banking-Welt noch überschaubar. Man loggte sich auf einer Internetseite mit seinen Anmeldedaten ein, tätigte seine Überweisung und bestätigte selbige mit einer x-beliebigen Nummer von einer Liste voller TANs. Nur: So richtig sicher war das nie. Wenn Unberechtigte in die TAN-Liste kamen, konnten sie in Verbindung mit dem Kontozugang allerlei Unheil anrichten. Mittlerweile vertrauen alle Banken auf sichere Verfahren. Die Unterschiede zwischen pushTAN, smsTAN und chipTAN, die etwa bei der Sparkasse zum Einsatz kommen, klären wir in der folgenden Übersicht.
pushTAN: Smartphone oder Tablet mit App benötigt
Um am pushTAN-Verfahren teilnehmen zu können, benötigst Du als Sparkassen-Kunde eine Freischaltung durch Deine Hausbank. Dann musst Du dir im App Store oder Play Store die S-pushTAN-App herunterladen. Tätigst Du jetzt eine Überweisung, musst Du in der App Dein Passwort eingeben, damit eine pushTAN generiert werden kann. Diese musst Du dann nur noch in Deiner Banking-App oder auf der Login-Seite Deiner Bank eingeben, um die Transaktion zu bestätigen.
Der Vorteil: Du kannst, im Gegensatz zur smsTAN, Überweisungen problemlos auch unterwegs einzig allein mit dem Smartphone tätigen. Das gelingt zwar auch mit der smsTAN, meist aber über Umwege, weil viele Banken beim smsTAN-Verfahren die Benutzung auf nur einem Endgerät unterbinden.
Wenngleich das pushTAN-Verfahren als vergleichsweise sicher gilt, so soll es laut Heise in der Vergangenheit zwei Forschern der Uni Erlangen gelungen sein, mit speziell entwickeltem Schadcode Überweisungen auf Android-Smartphones umzuleiten. Dazu sei das entsprechende Smartphone gerootet worden, womit die Root-Erkennung der pushTAN-App umgangen worden sei.
Doch zumindest die Sparkasse wischt Sicherheitsbedenken vom Tisch und schiebt die Mängel auf "veraltete Versionsstände". Tatsächliche Schadensfälle seien hingegen eher unwahrscheinlich, "aus heutiger Sicht", wie es im Oktober 2015 in einem Statement des Deutschen Sparkassen- und Giroverbands hieß.
smsTAN: Ein einfaches Handy für den SMS-Empfang reicht aus
Die smsTAN dürfte wohl die Variante sein, die von den meisten Personen genutzt wird. Dabei ist das Prinzip ganz simpel: Direkt nach dem Absenden der Überweisung schickt Dir Deine Bank eine TAN per SMS auf Dein Smartphone. Diese Nummer verfällt in der Regel nach spätestens fünf Minuten. Die smsTAN gibst Du dann wie gewohnt bei Deinem Überweisungsauftrag ein und bestätigst den Vorgang.
Nachteil: In Gegenden mit schlechter Netzabdeckung kann es schon einmal dauern, bis die SMS auch wirklich bei Dir zugestellt wird. Mitunter auch erst nach Ablauf der Frist, womit der Vorgang ungültig wird und Du erneut eine smsTAN anfordern musst. Auch erlaubt es beispielsweise die Sparkasse nicht, sich per Smartphone beim Online-Banking anzumelden und eine mobile TAN ans Handy zu schicken.
Galt das smsTAN-Verfahren aufgrund seiner Zwei-Faktor-Authentifizierung als sicheres Verfahren, so konnte auch diese Methode in der Vergangenheit öfter ausgehebelt werden. Das funktioniert in vielen Fällen über Phishing, also über den Datenklau vom Rechner oder auch Smartphone. Während Banken bei der Zustellung von wichtigen Dokumenten sehr penibel darauf achten, dass diese auch den richtigen Empfänger erreichen, sieht es bei Mobilfunkbetreibern mitunter anders aus. So haben Angreifer teilweise erfolgreiche eine zweite SIM-Karte für eine ausspionierte Mobilfunknummer bestellt und konnten so unberechtigte Transaktionen durchführen, meldete Heise bereits 2013.
chipTAN: Spezielles Kartenlesegerät erforderlich
Das chipTAN-Verfahren gilt ebenfalls als relativ sicher. Einmalig anschaffen musst Du Dir einen physischen TAN-Generator, der ein bisschen wie ein Taschenrechner aussieht. Derlei Geräte kosten meist zwischen 10 und 15 Euro. Der Vorteil: Der TAN-Generator arbeitet unabhängig vom Internet und lässt sich somit de facto nicht von außen angreifen, denn die TAN wird direkt im Gerät selbst generiert.
Möchtest Du jetzt eine Online-Überweisung in Auftrag geben, erscheint auf dem Endgerät eine Grafik, die Du mithilfe des TAN-Generators einlesen kannst – alternativ kannst Du alle Daten auch händisch eingeben. Auf Deinem kleinen Lesegerät werden jetzt alle Transaktionsdaten noch einmal angezeigt, nach Bestätigung der Richtigkeit generiert das Gerät eine für diesen Vorgang einmal gültige TAN.
Da beim chipTAN-Verfahren die Streuung relativ groß ist, schließlich werden gleich drei unterschiedliche Elemente für die Ausführung gebraucht, dürfte es sich hierbei um die sicherste Methode im Online-Banking handeln. Gleichwohl ist chipTAN nicht ganz so komfortabel wie die anderen beiden Varianten, schließlich dürfte niemand sein Lesegerät immer mit dabei haben – im Gegensatz zum Smartphone.
Freilich dürfte dieser Umstand nur Personen berühren, die auch unterwegs flexibel Überweisungen tätigen wollen. Wer ohnehin hauptsächlich Transaktionen in den eigenen vier Wänden tätigt, sollte nach Möglichkeit auf das chipTAN-Verfahren vertrauen.
Zusammenfassung
- pushTAN: Nur ein Smartphone mit spezieller pushTAN-App nötig
- Passwort in App eingeben, woraufhin diese eine TAN generiert
- pushTAN vergleichsweise sicher, konnte aber in Einzelfällen bereits geknackt werden
- smsTAN: Nur Handy oder Smartphone für den Empfang der TAN per SMS notwendig
- Manche Banken unterbinden smsTAN, wenn die Überweisung auf dem gleichen Smartphone getätigt wird
- smsTAN galt lange als sichere Methode, konnte aber in der Vergangenheit ebenfalls geknackt werden
- chipTAN: Einmalige Anschaffung eines TAN-Generators notwendig, kostet zwischen 10 und 15 Euro
- EC-Karte wird in Lesegerät gesteckt, anschließend wird die TAN generiert
- chipTAN gilt als sicherste Variante
