Aktuelles

Meine Bank schafft die smsTAN ab – Was nun?

Eine Information des Bundesamts für Sicherheit in der Informationstechnik

Tom Wannenmacher, 7. April 2022
Beim smsTAN-Verfahren (auch mTAN genannt) sendet Ihnen Ihre Bank eine Transaktionsnummer (TAN) per SMS auf Ihr Smartphone, wenn Sie beispielsweise eine Überweisung veranlassen.
Beim smsTAN-Verfahren (auch mTAN genannt) sendet Ihnen Ihre Bank eine Transaktionsnummer (TAN) per SMS auf Ihr Smartphone, wenn Sie beispielsweise eine Überweisung veranlassen.

Zunächst ist die geplante Abschaffung des smsTAN-Verfahrens kein Grund zur Beunruhigung. Ganz im Gegenteil: Viele Banken rücken von der smsTAN ab, weil Alternativen sicherer sind. Ihre Bank wird Ihnen aber weiterhin die Möglichkeit bieten, eine TAN zu erstellen, die Sie für das Online-Banking benötigen. Das bedeutet für Kundinnen und Kunden, dass das Onlinebanking in Zukunft besser geschützt ist, sie sich aber an ein neues Verfahren gewöhnen müssen.

Beim smsTAN-Verfahren (auch mTAN genannt) sendet Ihnen Ihre Bank eine Transaktionsnummer (TAN) per SMS auf Ihr Smartphone, wenn Sie beispielsweise eine Überweisung veranlassen. Das verhindert, dass Kriminelle Geld verschieben können, wenn sie etwa an Ihr Passwort gelangt sind. Zwar ist die smsTAN nutzerfreundlich und praktisch in der Anwendung, jedoch können SMS mit entsprechendem technischem Vorwissen abgefangen werden.

Alternativen zur smsTAN

Sollte Ihre Bank Sie darüber informieren, dass das smsTAN-Verfahren in den nächsten Monaten eingestellt wird, haben Sie Zeit, sich über alternative Möglichkeiten zu informieren. Wahrscheinlich überlässt Ihnen die Bank aber nicht die Wahl des TAN-Verfahrens, sondern liefert Ihnen Erklärungen zur Bedienung der neuen Technik.

PushTAN/AppTAN: App auf dem Smartphone

Das PushTan Verfahren firmiert bei den verschiedenen Banken unter verschiedenen Namen. Zur Nutzung dieses Verfahrens sind ein Smartphone oder Tablet und die entsprechende pushTAN-App notwendig. Nach Anmeldung des Verfahrens bei der Bank erhalten Kunden den Zugangscode für die App. Nach Eingabe der Transaktionsdaten, im Browser oder der Banking-App, werden die eingegebenen Daten zur Kontrolle noch einmal in der pushTAN-App angezeigt. Nachdem der Kunde diese bestätigt, wird die TAN generiert. Diese muss dann im Browser oder der BankingApp eingegeben werden. Manche Apps übernehmen diese auch automatisch. Die Sicherheit des TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Auch hier sollte immer die aktuellste Version der App installiert sein.

eTAN/ChipTAN: TAN-Generator mit girocard

Beim ChipTAN-Verfahren kommen zwei voneinander unabhängige Geräte zum Einsatz. Erst einmal wird aus den Transaktionsdaten ein graphischer Code erstellt, der dann mit dem ChipTAN-Generator ausgelesen werden muss. Dieser Generator wird vorher mit der entsprechenden Bankkarte aktiviert und erstellt aus der Grafik eine Transaktionsnummer. Da der Generator selbst nicht mit dem Internet verbunden ist, kann er aus der Ferne nicht angegriffen werden. Sollten die generierten TANs Unbefugten in die Hände fallen, können damit jedoch keine anderen Transaktionen ausgeführt werden, weil sie dynamisch an die jeweilige Überweisung gebunden sind.

PhotoTAN/QR-TAN: Grafik am PC, dazu ein Lesegerät oder eine Smartphone App

Bei diesem TAN-Verfahren kommen zwei voneinander getrennte Geräte zum Einsatz. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der in der Grafik enthaltende Code wird in eine TAN gewandelt, mit der die Transaktion frei gegeben wird. Die grafische Datenverschlüsselung bietet Hackern keine große Angriffsfläche. Zusätzlich wird die App mit einem Passwort gesichert. Eine Sicherheitslücke könnte das Smartphone des Kunden sein, wenn es nicht regelmäßig mit den Aktualisierungen der Apps versorgt wird.

Welches TAN-Verfahren sollte genutzt werden?

Kundinnen und Kunden haben nur begrenzten Einfluss darauf, welches Verfahren ihre Bank anbietet. Die Banken selbst legen fest, welche Verfahren sie verwenden. Die meisten Banken bieten Apps für mobile Endgeräte an, sodass pushTAN weit verbreitet ist. Für Bankkundinnen und -kunden bietet das Verfahren, bei richtiger Anwendung, ein gutes Sicherheitsniveau und für die Banken entstehen mit pushTAN die geringsten Kosten. Mit der PhotoTAN, bei der die Daten für die Erzeugung der TAN auf einem anderen Gerät erzeugt werden, steht ein weiteres sicheres Verfahren zur Verfügung. Jedoch bleibt der Einsatz eines externen TAN-Generator am sichersten, da dieser vom Internet getrennt ist und ausschließlich für das Onlinebanking benutzt wird. Generell sind die in Deutschland angewendeten Versionen der TAN-Generierung sicher, solange die Nutzerinnen und Nutzer Banking und TAN-Erstellung immer auf unterschiedlichen Geräten durchführen.

Quelle: bsi

Passend zum Thema: Achtung vor Phishing-Mails: So erkennen Sie den Betrug


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel