t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalSicherheit

Online-Banking: Das sollten Sie über mTAN, ChipTAN, iTAN wissen


iTAN, mTAN, pushTAN, ChipTAN
Wie sicher ist Online-Banking per TAN?

Mehr als 70 Prozent der Deutschen nutzen Online-Banking, um ihre Bankgeschäfte abzuwickeln. Allerdings setzen Banken verwirrend viele Sicherungsverfahren ein – da ist von iTAN, mTAN, pushTAN, SmartTAN oder ChipTAN die Rede. Als Bankkunde weiß man kaum, welche Methode die beste ist. Wir stellen die gängigen Online-Banking-Methoden vor, erklären wie sicher sie sind und sagen, was zu tun ist, falls Ihr Konto gekapert wurde.

Aktualisiert am 28.09.2015|Lesedauer: 5 Min.
dpa, t-online, mu
News folgen

Welche TAN-Verfahren gibt es?

Es sind verschiedene TAN-Verfahren im Einsatz. Welches eine Bank nutzt, unterliegt ihrer Entscheidung. Nur noch wenige Banken setzen auf das iTAN-Verfahren, einer Weiterentwicklung der TAN-Liste. Die TANs werden auf der iTAN-Liste nummeriert aufgeführt; bei einer Überweisung oder anderen Aktion fragt die Bank eine bestimmte TAN-Nummer ab. Eine neue EU-Regelung für sicheren Zahlungsverkehr sorgt dafür, dass das iTAN-Verfahren bis spätestens 2018 der Vergangenheit angehören wird.

Unter den verschiedenen Online-Banking-Methoden gilt die Absicherung per ChipTAN als am sichersten.Vergrößern des Bildes
Beim Online-Banking werden Überweisungen mit einer TAN autorisiert. (Quelle: Rüdiger Wölk/imago-images-bilder)

Die mTANs erreichen den Bankkunden per SMS. Sobald der Kunde eine Aktion durchführen möchte, schickt die Bank eine Nachricht an die hinterlegte Handy-Nummer. Bei Überweisungen wird meist der Betrag und die Bankleitzahl des Empfängers mit übertragen, damit der Nutzer die Daten noch ein letztes Mal überprüfen kann.

Die pushTAN kann der Nutzer nur mit einem Smartphone nutzen. Eine spezielle App der Bank generiert die TAN-Nummer je nach Bedarf. Diese ist nur für diesen einen Auftrag gültig.

Noch nicht sehr weit verbreitet ist die 2012 in Deutschland eingeführte photoTAN. Mit einer Smartphone-App oder einem photoTAN-Gerät scannen Kunden vor ihrer Überweisung ein kryptografisches Bild, das auf dem PC angezeigt wird. Die App oder das Gerät generiert daraus eine TAN und zeigt an, für welche Überweisung sie gilt.

Zu guter Letzt gibt es noch die ChipTAN, oft auch als SmartTAN bezeichnet. Bei diesem Verfahren hat der Bankkunde ein kleines Gerät zu Hause, in das er seine Kundenkarte steckt. In der Regel muss der Bankkunde anschließend einen Strich-Code mit dem Gerät abscannen, der auf der Internetseite der Bank angezeigt wird. Danach zeigt das Gerät die Daten zum Beispiel der Überweisung an und generiert eine TAN-Nummer.

Wie sicher sind die TAN-Verfahren?

Am unsichersten gilt das iTAN-Verfahren, das noch immer von einigen Banken genutzt wird. Ganoven können hier mit Phishing-Seiten die TAN-Nummern der Kunden erbeuten, da diese nicht auf einen bestimmten Auftrag limitiert sind, sondern lediglich zufällig abgefragt werden. Mit einer gestohlenen TAN-Nummer besteht somit für die Verbrecher die Chance, Überweisungen und andere Vorgänge auszulösen, sobald sie Zugriff auf das Online-Banking-Konto haben.

Das mTAN-Verfahren ist sicherer, kann aber von erfahrenen Hackern geknackt werden – auch wenn dieser Vorgang aufwendig ist. In mehreren bekannten Fällen konnten Kriminelle einen Trojaner auf Computern der späteren Opfer platzieren und so die Zugangsdaten zum Online-Banking-Konto sowie die Handy-Nummer erbeuten. Danach ergaunerten sie sich eine Ersatz-SIM-Karte, um die SMS mit der TAN-Nummer abfangen zu können. Sicherheitsexperten warnen auch vor Handy-Trojanern, die SMS-Nachrichten mit den Schlagworten "TAN" oder "Überweisung" automatisch an einen fremden Empfänger weiterleiten.

Beim pushTAN-Verfahren müssen Hacker vergleichbaren Aufwand betreiben und mit Trojanern oder anderen Schadprogrammen auf PC und Smartphone die Zugangsdaten für die Online-Banking-Seite sowie für die TAN-Generator-App erbeuten. Danach jedoch steht Überweisungen nichts mehr im Wege. Die TAN auf dem Weg von der Bank zum Smartphone oder Tablet abzufangen, halten Experten für unwahrscheinlich, da die Nummern verschlüsselt versendet werden.

Der Schwachpunkt der photoTAN liegt im System, das den optischen Sensor trägt: Das Smartphone kann durch eine Schadsoftware manipuliert werden. Wer es fernsteuern kann, kann auch die Transaktion manipulieren.

ChipTAN oder SmartTAN die beste Wahl

Die ChipTAN- oder SmartTAN-Methode gilt als die sicherste. Da hierfür ein Extra-Gerät notwendig ist, das zufällig TAN-Nummern erstellt, die nur für einen bestimmten Auftrag gültig sind, macht es dies für Ganoven schwer (aber nicht unmöglich), TAN-Nummern zu erbeuten. Für den Kunden ist das Verfahren etwas umständlicher, da das Ablesen des Strichcodes etwas Zeit in Anspruch nimmt.

Was kann der Bankkunde tun, um die Sicherheit zu erhöhen?

Zunächst sollten Bankkunden sorgfältig mit den Zugangsdaten ihres Online-Banking-Kontos sowie mit PIN-Codes und TAN-Nummern umgehen. Passwörter oder TANs sollten nicht auf dem PC gespeichert werden, da diese von Kriminellen mit Hilfe von Trojanern leicht ausgelesen werden könnten. Außerdem sollten die Zugangsdaten auch nicht im Browser gespeichert werden.

Wählen Sie zudem ein sicheres Passwort, um Hackern den Zugriff auf Ihr Online-Banking-Konto zu erschweren. Wichtige Passwörter und PIN-Codes sollten Sie (soweit möglich) regelmäßig ändern.

Schützen Sie Ihren PC mit einem Anti-Virus-Programm und einer Firewall, um Hackerangriffe sowie Trojaner-Attacken zu vereiteln. Nutzen Sie Online-Banking deshalb nicht auf öffentlichen Computern, sondern nur auf Geräten, denen Sie vertrauen.

Prüfen Sie vermeintliche E-Mail-Nachrichten oder Internetseiten ihrer Bank ausgiebig, bevor Sie sich einloggen. Oftmals versuchen Verbrecher, mit gut gemachten Fälschungen an ihre Daten heranzukommen. Außerdem sollten Sie Ihre Kontoauszüge regelmäßig studieren, um verdächtige Kontobewegungen rechtzeitig zu erkennen.

Was ist zu tun, wenn das Online-Banking-Konto gehackt wurde?

Falls der Online-Banking-Zugang gehackt wurde, sollten sich betroffene Kunden sofort mit ihrer Bank in Verbindung setzen und ihr Konto sperren lassen. Im Notfall steht dafür auch der allgemeine Sperr-Notruf unter der Telefonnummer 116 116 oder die zugehörige App für iOS und Android zur Verfügung.

Der Rechner sollte gründlich auf Schadprogramme überprüft und von ihnen befreit werden. Der Scanbericht der Antivierensoftware sollte gesichert und aufbewahrt werden. Danach sollte der Kunde alle Passwörter ändern – nicht nur die fürs Online-Banking.

Falls Geld vom Konto entwendet wurde, sollten Kunden Strafanzeige erstatten und das Geld von ihrer Bank zurückfordern.

Wer haftet, wenn Kriminelle sich Zugang zum Konto verschaffen?

In der Regel haftet die Bank für Schäden, jedoch kann diese eine "Selbstbeteiligung" des Kunden bis maximal 150 Euro verlangen. Diese wird insbesondere dann fällig, wenn die kriminellen Kontobewegungen möglich waren, weil der Bankkunde seine TAN-Methode verloren hat, sie gestohlen wurde oder sonst abhanden gekommen ist – so regelt es §675v BGB.

Lediglich wenn dem Kunden nachgewiesen werden kann, dass er vorsätzlich oder grob fahrlässig gehandelt hat, muss er den Schaden komplett selbst übernehmen und bekommt kein Geld zurück. Vorsatz und grobe Fahrlässigkeit müssen im Einzelfall von einem Gericht bestimmt werden. Wer aber zum Beispiel einem Dritten bewusst seine Nutzerdaten und TAN-Nummern aushändigen würde, der hätte schlechte Karten, das damit geklaute Geld zurück zu bekommen.

Anmerkung der Redaktion:
Einige Leser vermissten in unserem Artikel Online-Banking mit HBCI. HBCI (mittlerweile FinTS) ist eine standardisierte Schnittstelle für die Übertragung der Daten zwischen dem Kunden und der Bank. In diesem Artikel geht es jedoch um die von den Banken angebotenen TAN-Sicherungsverfahren für das Online-Banking.

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



TelekomCo2 Neutrale Website