TAN

Verschiedene TAN-Verfahren

Es gibt verschiedene Verfahren, mit denen ein Finanzinstitut eine TAN an einen Kunden übermittelt: TAN-Listen auf Papier, TANs per SMS sowie die Möglichkeit, sie mit einem TAN-Generator selbst zu erzeugen oder per QR-Code verschlüsselt zu erhalten. Meist bietet eine Bank verschiedene Verfahren an und lässt die Kunden auswählen, welches sie nutzen möchten.

TANs auf Papier: iTAN und iTAN/BEN

Beim iTAN-Verfahren (indizierte Transaktionsnumer) erhält der Bankkunde eine Liste mit Transaktionsnummern auf Papier, wobei jede TAN eine eigene Indexnummer hat. Bei jeder Transaktion wird nun mithilfe des Indexes vorgegeben, welche TAN genutzt werden soll. Danach ist diese unbrauchbar und kann durchgestrichen werden. Handelt es sich um ein iTAN/BEN-System, wird nach Eingabe der TAN auch eine weitere Bestätigungsnummer (BEN) abgefragt, die ebenfalls auf der Liste zu finden ist.

Die TAN auf Papier ist allerdings ein Auslaufmodell und wird von vielen Banken nur noch für Bestandskunden bereitgestellt. Die anderen Verfahren sind sicherer, weil die TANs auftragsgebunden erstellt werden und nur für begrenzte Zeit gültig sind. Das bedeutet, dass selbst wenn jemand die TAN entwendet, sie nach einer gewissen Zeit nutzlos wird.

TANs über das Handy: mTAN bzw. smsTAN

Häufig entscheiden sich Bankkunden für die mTAN, auch mobileTAN oder smsTAN genannt. Beim mTAN-Verfahren sendet die Bank per SMS eine TAN an das Handy des Kontoinhabers, sobald dieser eine Transaktion veranlasst. Dafür müssen Nutzer ihre Handynummer bei der Bank für das Online-Banking registrieren.

Wer das mTAN-Verfahren nutzt, kann allerdings nicht mit demselben Gerät die Online-Überweisung vornehmen. Das Verfahren ist gerade deshalb so sicher, weil es zwei Geräte erfordert (beispielsweise einen PC und ein Smartphone). Betrüger müssten Daten von beiden Geräten abfangen, was wesentlich schwieriger ist als nur von einem.

TANs per TAN-Generator: ChipTAN und eTAN

Viele Banken bieten auch die Möglichkeit, TANs mit einem TAN-Generator zu erzeugen. Bietet eine Bank dieses Verfahren an, bekommen Kunden die nötige Hardware entweder gratis oder sie kaufen sie für einen kleinen Preis. Die Generatoren ähneln USB-Sticks oder kleinen Taschenrechnern.

Die Transaktionsnummer kann unterschiedlich erzeugt werden: Bankkunden können etwa über einen Ziffernblock Daten wie Kontonummer und Überweisungsbetrag eingeben. Alternativ braucht der Kunde seine Bankkarte, auf deren Chip die TANs errechnet werden. Der Generator ist in diesem Fall lediglich das Lesegerät. Eine dritte Art Generator hat Sensoren, die eine Grafik vom Computerbildschirm ablesen und so die TAN-Daten von der Bank erhalten.

Der wahrscheinlich unkomplizierteste Generator ist der für die eTAN. Hierbei wird ein Gerät genutzt, das für ein bestimmtes Konto registriert ist und nur für dieses durch einen einfachen Knopfdruck eine TAN erzeugt. Diese eTAN wird im Gerät selbst aus einem geheimen Schlüssel, dem Datum und der Uhrzeit generiert und ist dann nur für einen festgelegten Zeitraum gültig. Dadurch ist das Verfahren trotz seiner Einfachheit sehr sicher.

TANs als QR-Code: QR-TAN bzw. photoTAN

Mit dem photoTAN-Verfahren bekommt der Nutzer über die Website seiner Bank einen QR-Code zugesendet, sobald er einen Auftrag abschließen möchte. Diesen Code scannt er dank einer speziellen App auf seinem mobilen Endgerät ein und kann nun TAN und Auftragsdaten sehen. Stimmen die Daten nach dem Scannen, gibt er die TAN ein und die Transaktion ist freigegeben. Wie beim TAN-Verfahren per SMS ist diese Verfahren besonders sicher dank der Verwendung zweier Geräte und der verschlüsselten Datenübertragung.

Welches ist das beste TAN-Verfahren?

Wenn möglich, sollten sich Bankkunden für eines der papierlosen TAN-Verfahren entscheiden. Sie alle eint, dass die TANs auftragsbezogen erstellt werden und deshalb nicht beliebig oder zeitlich unbegrenzt verwendet werden können. Werden sie doch einmal abgefangen – was extrem unwahrscheinlich ist –, können die Betrüger nur wenig Schaden anrichten.

Abgesehen davon kommt es natürlich auch darauf an, welche Verfahren eine Bank anbietet. Kunden sollten aus dem Angebot dasjenige wählen, das für sie am unkompliziertesten umzusetzen ist. Wichtig ist aber darauf zu achten, wo genau die TAN angezeigt wird, um bei einem etwaigen Verlust des Datenempfängers oder Datenträgers schnell reagieren zu können. Wer das mTAN-Verfahren nutzt, sollte seiner Bank sofort mitteilen, wenn sein Handy gestohlen wurde. Bei Generatoren sind entweder die Geräte selbst oder die für ihre Verwendung nötigen Chipkarten wichtig und sollten möglichst nicht abhandenkommen.