Bei Eröffnung Ihres Girokontos ist es heute normal, den Antrag für das Online-Banking gleich mit zu stellen. Das war nicht immer so. Bis vor ein paar Jahren war Onlinebanking eigentlich nur für große Firmen rentabel. Der Privatmann ist damals mit seinen Überweisungsträgern in die Bank seines Vertrauens gegangen und hat diese gegen einen Eingangsstempel am Schalter abgegeben. Vor circa 10 Jahren wurde das Online-Banking und damit auch das TAN-Verfahren für Privatpersonen interessant.

Was ist eine TAN?
Eine TAN (Transaktionsnummer) ist ein Einmalpasswort, welches aus sechs Ziffern besteht. Es findet hauptsächlich beim Online-Banking Verwendung, wenn Überweisungen getätigt werden müssen.

Bei Beantragung der Freischaltung für das Online-Banking wurde bisher ein sogenannter TAN-Block an den Kunden verschickt. Diese wurden bei jeder Transaktion und auch bei jeder Änderung im Account benötigt und abgestrichen. Nach Abarbeitung des Blockes bekam man den nächsten Block. Dieses Verfahren war sicherheitstechnisch noch nicht sehr hoch entwickelt. Ein Grund für die Banken, das System nun umzustellen.

Wie funktioniert das TAN-Verfahren jetzt?
Seit einiger Zeit gibt es neue Möglichkeiten, um an eine TAN zu kommen. Die neuen Verfahren sind unterschiedlich und jede Bank bietet seinen Kunden eine oder mehrere dieser Methoden an.

MobileTAN (mTAN)
Hierbei wird das Handy zum Übermittler der benötigten TAN. Die Handynummer wird bei der Bank hinterlegt und mit einer SMS der Bank freigeschaltet. Bei jeder Überweisung und jeder Änderung im Account wird die benötigte TAN an die hinterlegte Handynummer übermittelt – diese TAN ist zeitlich begrenzt und gilt nur für die aktuelle Transaktion. Durch den Weg über den SMS-Versand ist dies ein sichereres Verfahren als das klassische TAN-Verfahren, wenngleich es bereits Trojaner dafür gab. Ein Nachteil des mTAN-Verfahrens: Es können durch den SMS-Versand zusätzliche Kosten für den Kunden entstehen.

Der TAN-Generator
Auch hier gibt es verschiedene Möglichkeiten.
- der eTAN-Generator
- die Sm@rt-TAN
- die chip-TAN manuell

Beim eTAN-Generator wird unter Berücksichtigung der Kontonummer des Empfängers, der Uhrzeit und eines geheimen Schlüssels eine temporäre TAN erzeugt. Diese ist nur eine bestimmte Zeitspanne gültig und kann danach nicht mehr eingesetzt werden. Bei einigen Banken muss anstatt der Empfänger-Kontonummer eine zusätzlich generierte Kontrollnummer eingegeben werden. Einige Generatoren erstellen TANs nur aufgrund des geheimen Schlüssels und der Uhrzeit. Hier hat man das Kontrollinstrument der Empfänger-Kontonummer nicht. Diese sind für Phishingversuche sehr anfällig. Allerdings sind bei allen Generatoren keinerlei persönliche Daten erforderlich.

Das Sm@rt-TAN-Verfahren unterscheidet sich erheblich vom oben genannten eTAN-Generator. Hier wird dem Kunden ein TAN-Generator ohne Ziffernfeld zur Verfügung gestellt. Zur Ermittlung der TAN wird nun vom Kunden seine Bankcard oder eine gleichwertige Kundenkarte benötigt. Diese wird in den Generator eingeführt. Über den Chip auf der Kundenkarte wird nun die TAN generiert. Das Gerät ist nicht auf den Kunden individualisiert. Für diese Transaktionen ist jeweils eine PIN erforderlich. Dieses System ist nicht sehr verbreitet, da es anfällig ist für Phishingversuche, denn die TAN wird nicht auftragsbezogen ermittelt.

Das chip-TAN manuell-Verfahren kommt durch die VR-Banken immer mehr in Umlauf. Der Kunde erwirbt hier kostenpflichtig einen TAN-Generator mit Ziffernblock und Karteneinschub. Nach Durchführung der Überweisung wird auf dem Bildschirm ein sogenannter Startcode angezeigt. Nun wird die Bankcard in den Generator eingeführt und der angezeigte Startcode eingegeben. Allerdings ist dieses System sehr anfällig, da nach Verlust der Karte auch von anderen Personen eine TAN generiert werden kann.

Fazit zu den neuen TAN-Verfahren
Wie man sieht, haben all diese Verfahren Vor- und Nachteile und sind nicht 100%ig sicher. Dennoch: Besser und sicherer als das klassische TAN-Block-Verfahren sind sie allemal. Mit welcher Methode Sie in Zukunft Überweisungen tätigen, hängt jedoch nicht zuletzt davon ab, welche Verfahren Ihre Bank anbietet. Bei den Sparkassen ist es beispielsweise chip-TAN, bei der Deutschen Bank mTAN, bei der Postbank beides.