TAN-Verfahren

Was ist das TAN-Verfahren?

Das TAN-Verfahren ist ein Sicherheitsmechanismus, der vor allem im Bereich des Online-Bankings zur Autorisierung von Finanztransaktionen eingesetzt wird. Es basiert auf dem Prinzip der Einmaligkeit und der zeitlichen Begrenzung einer TAN, die als zusätzlicher Authentifizierungsfaktor neben den üblichen Zugangsdaten wie Benutzername und Passwort dient. 

Jede TAN ist eine einmalig gültige, zumeist numerische oder alphanumerische Sequenz, die beispielsweise mithilfe von Geräten wie einem TAN-Generator erzeugt und dem Nutzer bereitgestellt wird. Bei jeder Transaktion muss der Nutzer eine Nummer eingeben, um die Aktion zu bestätigen. Diese Methode dient als zusätzliche Sicherheitsebene, um sicherzustellen, dass die Überweisung tatsächlich vom Kontoinhaber initiiert wurde.

 

Historische Entwicklung des TAN-Verfahrens

Das PIN-TAN-Verfahren wurde in den 1980er Jahren eingeführt, als das Online-Banking noch in seinen Anfängen steckte. In dieser Zeit wurden den Bankkunden Listen mit einzigartigen Nummern auf Papier zur Verfügung gestellt. Diese Kennwörter wurden für jede Zahlung einmalig verwendet. Dieses Prinzip bot gegenüber den damaligen Standards einen erheblichen Sicherheitsvorteil, da es die Authentifizierung durch etwas ermöglichte, das nur der Nutzer besaß (die TAN-Liste), zusätzlich zu dem, was der Nutzer wusste (Passwort). 

Regulatorische Anforderungen, insbesondere die Europäische Zahlungsdiensterichtlinie PSD2, hatten einen erheblichen Einfluss auf die Entwicklung des TAN-Verfahrens. Diese Richtlinien erfordern starke Kundenauthentifizierungen (SCA), was zur Einführung noch sichererer Methoden führte, die in Einklang mit diesen gesetzlichen Anforderungen stehen. 

Heute konzentriert sich die Entwicklung des PIN-TAN-Verfahrens auf die Integration mit mobilen Endgeräten wie Smartphones und die Nutzung von biometrischen Technologien, was eine noch höhere Sicherheit und Benutzerfreundlichkeit verspricht. Die fortlaufende Digitalisierung und die zunehmende Nutzung von Smartphones im Banking führen zu innovativen Lösungen, die Sicherheit, Komfort und Benutzererfahrung weiter verbessern.

 

Verschiedene TAN-Verfahren

Liste-basierte TANs 

Liste-basierte TANs repräsentieren eine der ältesten und grundlegendsten Methoden zur Sicherung von Online-Überweisungen, insbesondere im Bereich des Online-Bankings. Dieses Prinzip basiert auf einer Liste von einmalig verwendbaren, zumeist numerischen oder alphanumerischen Codes, die von Banken an ihre Kunden ausgegeben werden. 

Bei den liste-basierten TANs erhält der Kunde von seiner Bank eine Liste mit einer bestimmten Anzahl von Transaktionsnummern, die in der Regel per Post verschickt wird. Jede TAN auf der Liste ist einzigartig und wird nach einmaligem Gebrauch ungültig. Zur Durchführung einer Online-Zahlung, wie etwa einer Überweisung, muss der Kunde eine Transaktionsnummer von dieser Liste eingeben. Die Eingabe der korrekten TAN bestätigt die Identität des Nutzers und autorisiert die Überweisung. 

iTAN (Indizierte TAN) 

Die iTAN stellt eine Weiterentwicklung des traditionellen, liste-basierten TAN-Verfahrens dar. Diese Methode wurde eingeführt, um die Sicherheit bei Online-Zahlungen zu erhöhen, indem es eine zusätzliche Sicherheitsebene zu den bestehenden TAN-Listen hinzufügt. 

Bei der iTAN-Methode erhält der Nutzer, ähnlich wie des traditionellen Ansatzes, eine Liste von TANs, wobei jeder Eintrag auf der Liste eine eindeutige Indexnummer hat. Bei der Durchführung einer Online-Überweisung fordert das Bankensystem den Nutzer auf, eine spezifische TAN einzugeben, indem es den Index (die Position) der benötigten Nummer auf der Liste angibt. Der Nutzer muss dann die entsprechende TAN an der angegebenen Position auf der Liste finden und eingeben, um die Zahlung zu autorisieren. 

mTAN/SMS-TAN 

Das mTAN-Verfahren, auch bekannt als SMS-TAN, ist eine Methode der Transaktionsauthentifizierung, die eine wesentliche Weiterentwicklung in der Sicherheit von Online-Banking-Diensten darstellt. mTAN steht für „mobile Transaktionsnummer“ und bezeichnet ein System, bei dem die Nummern per SMS an das Gerät des Nutzers gesendet werden. Beim mTAN-Verfahren wird für jede Online-Zahlung ein einmalig gültiges Kennwort generiert und direkt an die Mobiltelefonnummer des Kunden gesendet. Um eine Überweisung zu autorisieren, muss der Nutzer diese TAN in das Online-Banking-System eingeben. 

chipTAN 

Das chipTAN-Verfahren, auch bekannt als TAN-Generator-Verfahren, ist eine fortschrittliche Methode zur Erzeugung der Nummern in Verbindung mit speziellen Geräten. Dieses System verwendet eine Kombination aus einer Bankkarte (mit einem Chip) und einem speziellen TAN-Generator, um eine hohe Sicherheit bei Online-Transaktionen zu gewährleisten. 

Beim chipTAN-Verfahren wird ein Kennwort generiert, indem der Nutzer seine Bankkarte in einen kleinen, tragbaren TAN-Generator einsteckt. Dieses Gerät liest Informationen vom Chip der Karte und interagiert mit dem Online-Banking-System, um eine für jede Zahlung spezifische TAN zu erzeugen. Die Generierung der TAN kann durch Eingabe von Transaktionsdetails in den TAN-Generator oder durch Scannen eines Flicker-Codes (einer blinkenden Grafik) auf dem Computerbildschirm ausgelöst werden. 

pushTAN 

Das pushTAN-Verfahren ist eine moderne und benutzerfreundliche Methode zur Generierung von Transaktionsnummern für Online-Banking-Transaktionen. Es nutzt die Möglichkeiten der Smartphone-Technologie, um eine hohe Sicherheit bei gleichzeitiger Bequemlichkeit zu bieten. 

Beim pushTAN-Verfahren erhält der Nutzer das Kennwort direkt auf sein Smartphone oder Tablet über eine speziell dafür entwickelte Banking-App. Die App ist in der Regel mit dem Online-Banking-Konto des Nutzers verbunden. Für jede Transaktion generiert das Bankensystem eine einzigartige TAN und sendet diese über eine sichere Verbindung an die App auf dem Gerät des Nutzers. Der Nutzer gibt dann diese TAN in das Online-Banking-Portal ein, um die Überweisung zu autorisieren. 

photoTAN 

Das photoTAN-Verfahren ist eine innovative Methode zur Generierung von Transaktionsnummern für Online-Banking-Transaktionen. Es kombiniert hohe Sicherheitsstandards mit einer intuitiven und benutzerfreundlichen Handhabung. Durch die Verwendung von optischen Elementen stellt das photoTAN-Verfahren eine moderne Alternative zu traditionellen TAN-Methoden dar. 

Bei der photoTAN-Methode generiert das Online-Banking-System einen farbigen Grafikcode (QR-Code ähnlich) für jede Zahlung. Der Nutzer scannt diesen Code mit seinem mobilen Gerät (z.B. einem Smartphone), auf dem eine spezielle photoTAN-App installiert ist. Die App entschlüsselt den gescannten Code und generiert ein Kennwort, das der Nutzer dann im Online-Banking-Portal eingibt, um die Überweisung zu autorisieren.

 

Sicherheitsaspekte der TAN-Verfahren

Die Sicherheitsaspekte der TAN-Verfahren sind von entscheidender Bedeutung, um die Integrität und Sicherheit von Online-Banking-Zahlungen zu gewährleisten. TAN-Verfahren dienen als zusätzliche Sicherheitsebene neben der üblichen Anmeldung mit Benutzername und Passwort, indem sie für jede Überweisung eine einmalige Bestätigung erfordern. Im Folgenden eine Übersicht der verschiedenen Sicherheitsaspekte und -maßnahmen im Zusammenhang mit den TAN-Verfahren: 

  • Einmaligkeit: Jede Nummer ist einzigartig und kann nur für eine spezifische Transaktion verwendet werden. Nach der Verwendung wird das Kennwort ungültig, was das Risiko einer wiederholten oder unbefugten Verwendung erheblich reduziert. 
  • Verschlüsselung und sichere Übertragung: Bei mobilen TAN-Verfahren werden Nachrichten oft verschlüsselt und über sichere Kanäle gesendet, um das Risiko des Abfangens oder der Manipulation zu minimieren. 
  • Zwei-Faktor-Authentifizierung (2FA): TAN-Verfahren sind eine Form der Zwei-Faktor-Authentifizierung, da sie neben etwas, das der Nutzer weiß (Passwort), auch ein Gerät einbeziehen, das der Nutzer besitzt (z.B. ein Smartphone für SMS-TANs oder ein TAN-Generator). 
  • Schutz vor Phishing und anderen Betrugsversuchen: Moderne Verfahren wie pushTAN und photoTAN bieten zusätzliche Sicherheitsmerkmale, um Phishing-Angriffe und andere Arten von Betrug zu erschweren. 
  • Benachrichtigungen und Warnungen: Viele Banken bieten zusätzliche Sicherheitsmaßnahmen wie Benachrichtigungen bei jeder Transaktion oder Warnungen bei ungewöhnlichen Aktivitäten. Dies ermöglicht es den Nutzern, schnell auf potenziell betrügerische Vorgänge zu reagieren.