Mobile-TAN und Chip-TAN

Recht alt ist das SMS- oder auch Mobile-TAN genannte Verfahren. Hier wird dem Nutzer eine TAN per Mobilfunk übermittelt. Problematisch an dem Verfahren ist, dass der SMS-Verkehr nicht abhörsicher ist. Erfolgreiche Angriffe, meist auf wohlhabende Kunden, gab es in der Vergangenheit schon. Dazu kommt auch hier das Problem, dass gerade die SMS-TAN eventuell auf dem Gerät ankommt, mit dem Banking betrieben wird. Einige Banken, wie etwa die Sparda-Bank, verlangen vom Kunden dann, zwei Geräte zu verwenden.

Stellenmarkt
  1. Systementwickler DevOps Remote Services (m/w/d)
    KHS GmbH, Dortmund
  2. Technikkoordinator/in Datenaustausch (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Zu den wohl sichersten Verfahren gehört das Chip-TAN-Verfahren mit Hilfe eines separaten Nummerngenerators. Das ist zwar recht alt, aber bewährt. Eine Neuerung ist die Umbenennung in Smart-TAN plus. Als zusätzliches Sicherheitselement dient hier die Debitkarte des jeweiligen Kontos, die eingesteckt werden muss. Das kann eine Girocard, Maestro-Card oder V-Pay-Karte sein. EC-Karten werden nicht unterstützt, denn die gibt es nicht mehr.

HBCI: großer Aufwand, aber für Profis

Ebenfalls als sehr sicher gilt das Banking per HBCI. Auch hier wird ein Kartenlesegerät verwendet, das aber an einen Rechner angeschlossen werden muss. Der Aufwand ist vergleichsweise hoch und damit vor allem für Anwender interessant, die viel mit Überweisungen arbeiten müssen.

Keine gute Idee sind dauerhaft gültige TAN. Hier vergibt der Nutzer im Prinzip einmalig ein Passwort, das nur Transaktionen erlaubt. So handhaben dies beispielsweise N26 und die Targobank (EasyTAN). Der Nutzer meldet sich erst in der Banking-App an, startet eine Überweisung und gibt dann das Transaktionspasswort an. Das ist in erster Linie komfortabel. Wer auf sein Geld Wert legt, sollte davon aber die Finger lassen oder es vielleicht nur bei unwichtigen Zweitkonten machen, über die lediglich Kleinbeträge verwaltet werden. Das iTAN-Verfahren würden wir als deutlich sicherer einschätzen.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Einen weiteren Überblick über TAN-Verfahren bietet das Bundesamt für Sicherheit in der Informationstechnik, aber auch diese Liste ist nicht vollständig. So fehlt etwa das Bestsign-Verfahren, das mitunter mit sehr besonderer Hardware arbeitet. Hier fehlt uns die Erfahrung.

In jedem Fall sollten die Nutzer die Gefahr nicht unterschätzen. Angreifer, die sich bisher auf Social Engineering und das Abgreifen von Papiertransaktionsnummern spezialisiert haben, werden sicherlich nicht einfach ein lukratives kriminelles Feld aufgeben. Sie werden sich weiterentwickeln und neue Angriffsmethoden entwickeln. Alternativ könnten komplexere Angriffe, wie auf das SMS-TAN-Verfahren, populärer werden. Auch Angriffe auf Kunden, die faktisch mit festgelegten TA-Nummern arbeiten, können wir uns vorstellen. Zumal die Social-Engineering-Angriffe immer ausgefeilter werden.

Die Linkliste auf der folgenden Seite erhebt keinen Anspruch auf Vollständigkeit. Nach Möglichkeit haben wir die TAN- oder PIN-Verfahren herausgesucht, die die jeweiligen Banken unterstützen. Mitunter steht nicht jedes Verfahren jedem Kunden zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre GültigkeitLinkliste zu den TAN-Verfahren von Banken in Deutschland 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


IchBIN 23. Jul 2019

Naja, ich habe jetzt herausgefunden, dass es wohl zwei verschiedene Foto-TAN-Verfahren...

treysis 23. Jul 2019

Wer kein Handy hat, kann auch keine mTAN empfangen. Wer kein Handy braucht, der hat...

IchBIN 23. Jul 2019

Interessant! Bei meinem ist es so, dass er beim Einschalten (=Karte reinstecken) auch...

LinuxMcBook 23. Jul 2019

MITM sagt dir anscheinend nichts.

LinuxMcBook 22. Jul 2019

Ich nutze bei einer Sparkasse jetzt schon seit bald 10 Jahren Chip-TAN. Und dort muss...



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /