Mein Konto Meine Bibliothek
x
Onlinebanking

Abschied von der iTAN-Liste: Was sind die Alternativen?

Redaktion
Redakteur
Veröffentlicht am: 23.07.2019

Auf einen Blick

  • Ab dem 14. September 2019 haben die iTAN-Listen in Papierform ausgedient und können nicht mehr für Online-Überweisungen verwendet werden.
  • Nach der geltenden europäischen Zahlungsdiensterichtlinie (PSD2) müssen Transaktionsnummern für das Onlinebanking künftig dynamisch generiert werden.
  • Als Alternativen stehen in Zukunft Verfahren wie Chip-TAN, Push-TAN, Photo-TAN und SMS-TAN zur Verfügung.
  • Bei vielen Banken können Kleinst-Überweisungen online ohne TAN getätigt werden – sogar zwischen Fremdkonten.
100 % unabhängig dank Ihres Klicks
Kaufen Sie ein Produkt über einen mit (*) oder (a) gekennzeichneten Werbelink, erhalten wir eine kleine Provision. Für Sie ergeben sich keine Mehrkosten und Sie unterstützen unsere Arbeit. Vielen Dank!
Mehr erfahren

Das erwartet Sie in diesem Artikel

  1. SMS- oder Mobile-TAN
  2. Push-TAN-Verfahren
  3. Chip- oder Smart-TAN
  4. Photo-TAN
  5. HBCI-Verfahren
  6. BestSign
  7. Multi-Banking-Apps
  8. Diese TAN-Verfahren bieten die verschiedenen Banken
  9. Kleinst-Überweisungen ohne TAN-Nummer

Für Bankkunden brechen neue Zeiten an. Ab dem 14. September 2019 können sie keine Online-Überweisungen per iTAN-Liste mehr tätigen. Alle Banken schaffen die Transaktionsnummern auf Papier ab. Grund dafür ist die seit Januar 2018 geltende europäische Zahlungsdiensterichtlinie (PSD2). Sie schreibt vor, dass die für das Onlinebanking notwendigen Transaktionsnummern künftig dynamisch generiert werden müssen, was mit einer Zahlenfolge auf Papier nicht möglich ist.

Biallo News

Wollen Sie in Sachen Finanzen auf dem Laufenden bleiben? Dann abonnieren Sie unseren kostenlosen Newsletter!

Wir freuen uns darauf, Ihnen mit Ihrer Zustimmung interessante Inhalte, Empfehlungen und Werbung von uns und unseren Partnern zu schicken, die genau auf Ihre Interessen zugeschnitten sind. Um dies zu ermöglichen, analysieren wir, wie Sie unsere Website nutzen (z.B. Seitenaufrufe, Verweildauer) und wie Sie mit unseren E-Mails interagieren (z. B. Öffnungs- und Klickraten). So erstellen wir ein Nutzungsprofil, das Ihnen die relevantesten Inhalte liefert, und ordnen Sie in passende Werbezielgruppen ein. Ihre Zustimmung können Sie jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Viele Banken verzichten bereits seit einiger Zeit auf die als unsicher geltende Zertifizierung – beispielsweise die Postbank, die Sparkassen sowie die Volks- und Raiffeisenbanken. Die Consorsbank hat die iTAN-Liste aus Sicherheitsgründen gar nicht erst eingeführt. Die übrigen Banken informieren derzeit ihre Kunden über das bevorstehende Ende der iTAN-Liste und raten ihnen zum Wechsel in ein neues Verfahren. Comdirect und Deutsche Bank legen dazu ihren Kunden das PhotoTAN-Verfahren ans Herz, die DKB favorisiert die Erzeugung von Transaktionsnummern mittels ihrer TAN2go-App.

Hintergrund: Die TAN ist eine Art Unterschrift, mit der Online-Überweisungen oder Daueraufträge via Internet final freigegeben werden. Zur Sicherheit der Bankgeschäfte gilt jede TAN immer nur für einen bestimmten Auftrag. Das bedeutet: Sie brauchen stets Nachschub an neuen Transaktionsnummern.

Diesen Nachschub lieferte bislang die klassische iTAN-Liste, auf der 100 Transaktions-Nummern zur Verfügung standen. Direktbanken wie DKB, ING und Comdirect haben sie bis jetzt genauso im Angebot wie Deutsche Bank und Commerzbank. Doch die per Post versendeten Listen haben einen Haken: Sie können leicht in falsche Hände geraten.

Auf Druck der EU müssen alle Banken die TAN-Zettel spätestens im September 2019 aus dem Verkehr ziehen und durch neue, sicherere Zertifizierungs-Verfahren ersetzen. Zahlreiche Alternativen stehen bereit, doch jedes hat Vor- und Nachteile. Der folgende Beitrag stellt die verschiedenen Freischaltmethoden und ihre Funktionsweisen vor.

 

SMS- oder Mobile-TAN

Zu den ältesten Zertifizierungs-Verfahren zählt die SMS-TAN. Oft auch als Mobil-TAN oder m-TAN bezeichnet, ist sie bis heute weit verbreitet. Alles, was Sie dazu benötigen, ist ein Computer oder Tablet sowie ein klassisches Mobiltelefon oder Smartphone. Die Nummer Ihres Mobiltelefons registrieren Sie bei ihrer Bank. Tätigen Sie eine Online-Überweisung, erhalten Sie von der Bank innerhalb weniger Sekunden eine TAN auf ihr Smartphon geschickt. Mit dieser Nummer bestätigen Sie die Transaktion und schließen den Überweisungsvorgang ab.

Das Problem: Wenn Sie nur ein Gerät für ihre Bankgeschäfte und die Übertragung der SMS-TAN nutzen, etwa das Smartphone, dann laufen Sie Gefahr, von Hackern ausgespäht zu werden. Die EU-Richtlinie fordert deshalb eine Zwei-Kanal-Trennung, also die Bank-Transaktion und den TAN-Empfang auf zwei verschiedenen Geräten. Nutzen Sie daher immer ein separates Handy für den SMS-Empfang.

  • Nachteil: Fast alle Banken berechnen inzwischen Geld für den Versand der SMS. In der Regel fallen neun Cent pro SMS an. Der Verbraucherzentrale Bundesverband hatte gegen diese Gebühr geklagt, setzte sich jedoch 2017 vor dem Bundesgerichtshof nicht durch.
  • Vorteil: Bankgeschäfte von unterwegs, mit Tablet und Handy, sind unproblematisch. Bei Nutzung unterschiedlicher Empfangsgeräte sind Bankkunden zuverlässig vor kriminellen Angriffen geschützt. Die SMS enthält Details zum Auftrag, damit Kunden sie gegenchecken können, etwa Teile der Kontonummer des Empfängers. Stimmen die Angaben mit denen in der Überweisungsmaske überein, können Sie sicher sein, dass Ihre Überweisung korrekt und sicher versendet wird. Außerdem gilt die TAN-Nummer zeitlich begrenzt und nur für den einen speziellen Auftrag.

Lesen Sie auch: Die besten Banking-Apps im Überblick

 

Push-TAN-Verfahren

Die Nutzung unterschiedlicher Endgeräte für das Onlinebanking, wie bei der SMS-TAN gefordert, widerspricht allerdings dem modernen Mobile-Banking via Smartphone. Um das Problem zu lösen, verwenden viele Banken inzwischen zwei unterschiedliche Apps. Diese gewährleisten die Trennung von Bankvorgang und TAN-Erzeugung bei der Nutzung ein und desselben Endgeräts.

Ein Verfahren hierfür ist das sogenannte Push-TAN-Verfahren, das zum Beispiel bei Sparkassen, Sparda-Banken, Volks- und Raiffeisenbanken sowie der Direktbank DKB zum Einsatz kommt. Die Namen für das Verfahren variieren je nach Bank. So gibt es zum Beispiel das VR-Secu­reGo-, das SpardaSecure-Go- und bei der DKB das Tan2go-Verfahren.

Funktionsweise

Beim Push-TAN-Verfahren erhalten Sie die TAN über eine spezielle App direkt auf das Tablet oder Smartphone gesendet. Banking-App und TAN-App arbeiten unabhängig voneinander und sind nach neuestem Stand der Technik kryptographisch verschlüsselt. Dadurch ist das Mobile-Banking mit nur einem Endgerät sicher. Der TÜV Saarland, der das Verfahren einer umfangreichen Prüfung unterzog, hatte an dieser Methode nichts auszusetzen.

Um eine push-TAN nutzen zu können, benötigt man ein Girokonto, das für das Onlinebanking freigeschaltet ist. Mit diesem meldet man sich für das push-TAN-Verfahren bei seiner Bank an und erhält von ihr die Zugangsdaten für die App. Die App selbst laden Sie im App-Store von Apple oder im Play Store von Google kostenlos auf Ihr Mobiltelefon oder Tablet herunter.

Anschließend gibt man die Überweisungsdaten in die Onlinebanking-Maske ein und sendet diese ab. Jetzt wechselt man zur Push-TAN-App, gibt sein Passwort ein und prüft die angezeigten Auftragsdaten. Gleichzeitig generiert die App eine TAN, die man in das Onlinebanking-Formular eingibt. Nun können Sie Ihre Überweisung freigeben.

  • Risiko: Rein theoretisch kann jede App gehackt werden. Da bei der Push-TAN allerdings zwei Apps mit unterschiedlichen Passwörtern unabhängig voneinander arbeiten, ist dies für Angreifer ziemlich schwierig.
  • Vorteil: Das Verfahren verursacht keine Kosten und ist sehr flexibel. Bankgeschäfte von unterwegs sind mit Tablet und Smartphone kein Problem. Die Nutzung unterschiedlicher Empfangsgeräte ist einen Tick sicherer als die Transaktion mit nur einem Gerät.

 

Chip- oder Smart-TAN

Als noch sicherer als das Push-TAN-Verfahren gilt die Chip- oder Smart-TAN: Hier wird die TAN durch einen externen Generator in Verbindung mit der eigenen Girokarte erzeugt. Dazu muss das Girokonto für das Onlinebanking freigeschaltet sein, außerdem benötigen Sie eine Girocard und einen TAN-Generator. Diesen bekommen Sie bei Ihrer Bank. Meist kosten die Geräte Geld. Einfache Generatoren gibt es ab etwa zehn Euro – teure, mit umfangreichen Funktionen ausgestatte, kosten bis zu 60 Euro.

Funktionsweise

Lassen Sie ihr Konto für das Chip-TAN-Verfahren freischalten und geben Sie die Überweisungsdaten wie gewohnt in die Onlinebanking-Maske ein. Anschließend schicken Sie den Auftrag ab. Jetzt öffnet sich am Bildschirm ein Fenster mit einer Strich-Code-Grafik. Stecken Sie nun Ihre Girocard in den TAN-Generator und halten Sie das Gerät vor den Bildschirm. Der Generator scannt den Strich-Code, übersetzt die Daten und zeigt sie leserlich an. Zeitgleich wird eine TAN generiert. Sind alle Daten korrekt wiedergegeben, geben Sie den Auftrag frei.

  • Vorteil: "Der TAN-Generator sorgt für Kanaltrennung und kann weder ausspioniert noch durch Trojaner manipuliert werden, da er nicht mit dem Internet verbunden ist", sagt Dirk Althoff, Leiter Unternehmenskommunikation bei der Consorsbank. Die Chip-TAN-Methode gilt daher als sehr sicher.
  • Nachteil: Für Bankkunden ist das Verfahren etwas umständlich, da sie immer den TAN-Generator benötigen und mit ihrer Girocard aktivieren müssen.

 

Photo-TAN

Beim Photo-TAN-Verfahren wird, neben dem Computer oder Tablet, für das Onlinebanking ein Smartphone mit einer sogenannten Photo-TAN-App oder ein spezielles Lesegerät zur Generierung der TAN benötigt. Um das Verfahren zu nutzen, müssen Sie vorab auf dem Smartphone die kostenlose Photo-App Ihrer Bank installieren und sich registrieren. Soll das Banking nicht via Handy getätigt werden, kann alternativ ein spezielles Lesegerät für den Computer zum Einsatz kommen.

Geben Sie nun die Überweisungsdaten in die Onlinemaske ein und senden Sie den Auftrag ab. Postwendend wird ein kleines farbiges Bild angezeigt, das aussieht wie ein Mosaik. Dieses Bild enthält die TAN-Nummer und die Auftragsdaten in verschlüsselter Form.

Greifen Sie nun zu Ihrem Smartphone oder dem PC-Lesegerät und scannen Sie das Bild. Bei diesem Vorgang werden die Daten entschlüsselt und die TAN sowie die Auftragsdaten leserlich angezeigt. Überprüfen Sie dann die Daten auf Korrektheit und bestätigen Sie den Auftrag im Onlinebanking.

Sicherheit: Das photoTAN-Verfahren ist sehr sicher, wenn Sie die Grafik mit dem Lesegerät scannen, weil dieses nicht mit dem Internet verbunden ist, also nicht ausspioniert werden kann. Etwas weniger hoch ist die Sicherheit, wenn Sie das Smartphone verwenden, denn die App könnte rein theoretisch gehackt werden.

Bisher ist es nur unter Laborbedingungen gelungen, das Verfahren zu knacken. Wissenschaftler haben dazu den Computer mit einer Schadsoftware infiziert und konnten so unbemerkt eine Überweisung auf ein anderes Konto umleiten und auch den Überweisungsbetrag ändern.

 

HBCI-Verfahren

Beim sogenannten "Homebanking Computer Interface"-Verfahren handelt es sich um ein Banking-Transaktionsverfahren, bei dem man ähnlich wie beim Chip-TAN-Verfahren ein Kartenlesegerät, eine Chipkarte und eine persönliche Geheimzahl (PIN) benötigt.

Funktionsweise

Sie geben zunächst alle Daten in das Formular einer Finanzsoftware auf Ihrem Computer ein. Zum Übertragen an die Bank schließen Sie dann den separaten Kartenleser an Ihren Computer an und stecken die Chipkarte ein. Anschließend weisen Sie sich mit Ihrer Geheimzahl aus. Nun autorisiert der Signierschlüssel auf der Chipkarte die Überweisung digital.

Verschlüsselt und über eine gesicherte Datenleitung wandert die Überweisung an die jeweilige Bank. Dort wird die Nachricht entschlüsselt und die Unterschrift mit der bei der Bank hinterlegten Signatur verglichen. Stimmen beide überein, erfolgt die Überweisung. Das HBCI-Verfahren gilt als sehr sicher aber aufwändig, weswegen es zahlreiche Banken ihren Kunden nicht mehr empfehlen, zum Beispiel die Sparkassen.

Außerdem ist der Standard veraltet. Inzwischen wurde FinTS als Nachfolger von HBCI auf den Markt gebracht. Es enthält ein Sicherheitsverfahren mit Chipkarte und PIN. Neuere HBCI-Chipkarten nutzen beispielsweise FinTS 3.0. HBCI spielt heute häufig nur noch als Hintergrund-Technologie eine Rolle. Viele der aktuellen Banking-Apps greifen auf die eine oder andere Weise auf Teile des HBCI-Verfahrens zurück.

  • Vorteil: Sie benötigen bei dem HBCI-Verfahren keine TAN-Nummern. Allerdings brauchen Sie eine Bank-Software auf Ihrem PC, um die Bankgeschäfte durchzuführen.
  • Nachteil: Sie müssen mit Zusatzkosten rechnen. Die Kartenlese-Geräte kosten bis zu 60 Euro.

 

BestSign

Ein spezielles Online-Überweisungsverfahren bietet die Postbank an: das sogenannte BestSign-Verfahren. Bei diesem TAN-losen Verfahren benötigen Sie ein Zusatzgerät, das aussieht wie ein USB-Stick. Dieser Stick nennt sich SealOne. Er wird durch die Eingabe einer Identifikations­nummer mit Ihrem Konto verknüpft. Sie bekommen dazu von der Postbank per Brief einen Code, mit dem Sie das Gerät aktivieren.

Wenn Sie von einem anderen Tan-Verfahren in das BestSign-Verfahren wechseln, können Sie das neue Verfahren mit einer TAN des alten Verfahrens freischalten.

Funktionsweise

Verbinden Sie den Stick per USB oder Bluetooth mit Ihrem Computer. Geben Sie die Über­weisungs­daten am PC ein – das Gerät zeigt diese noch mal an. Sind diese korrekt, bestätigen Sie die Daten per Knopfdruck. Die Freigabe kann auch per Fingerabdruck, Gesichtserkennung Face-ID oder Passwort erfolgen. Eine sichtbare TAN wird bei dem Prozess nicht benötigt.

  • Vorteil: Da die Transaktion über zwei verschiedene Geräte läuft, gilt das Zertifizierungs-Verfahren als besonders sicher.

 

Multi-Banking-Apps

Online-Überweisungen und andere Finanztransaktionen via Onlinebanking sind inzwischen bei vielen Banken auch mit sogenannten Multi-Banking-Apps möglich. Bankkunden müssen die kostenfreien Apps auf ihr Tablet oder Smartphone herunterladen und anschließend von der Bank autorisieren und freischalten lassen. Bei der ING heißt das Verfahren "Banking to go", bei 1822 und Comdirect einfach "Banking-App" oder "Finanz-App".

Kunden können mit einer solchen App ihre Bankgeschäfte weltweit mobil tätigen. So ist es möglich, Geld zu überweisen, Daueraufträge freizugeben und Wertpapiere zu kaufen beziehungsweise zu verkaufen. Das Ganze funktioniert bequem per Fingerabdruck, über Gesichtserkennung oder mit einer festgelegten Mobile-PIN. Um die Aufträge freizugeben, braucht man keine iTANs, mTANs oder Chip-TANs mehr.

Das leisten moderne Multi-Banking-Apps:

  • Einfach einloggen mit Fingerprint, Touch ID oder Gesichtserkennung Face ID.
  • Jederzeit und von überall aus bequem den aktuellen Kontostand checken.
  • In der Vorschau Lastschriften, Dauer- und Terminaufträge der kommenden Wochen anzeigen lassen. Damit weiß man schon heute, was morgen auf dem Konto passiert.
  • Umsätze gezielt nach Betreff suchen.
  • Rechnungen schnell und unkompliziert per Fotoüberweisung durchführen: Einfach Rechnung abfotografieren – Inhalte werden automatisch übernommen.
  • Geldautomatensuche nutzen und Bankautomaten in der Nähe sowie Supermärkte mit Bargeldservice finden.
  • Mit Multibanking die eigenen Finanzen im Überblick behalten – auch die von anderen Banken.
  • Online-Überweisungen tätigen ohne TAN-Nummern.
  • Mit Mobile-Brokerage jederzeit auf das Wertpapierdepot zugreifen und Depotbestände sowie Wertpapierkurse abfragen oder Wertpapiere kaufen und verkaufen.
  • Giro- und Kreditkarten sperren lassen.

 

Diese TAN-Verfahren bieten die verschiedenen Banken

Anbieter / Bank

SMS-TAN

Push-TAN

TAN-Generator, Chip-TAN

Photo-TAN

Sparkassen

x

x

x

Sparda Banken

x

x

x

 

PSD Banken

x

x

x

x

Volks- und Raiffeisenbanken

x

x

x

x

Commerzbank

x

 


x

Deutsche Bank

x

 

 

x

1822 Direkt*

x

x

 

x

ING*

x

 

x

Consorsbank

x

 

x

Comdirect*

x

 

x

Postbank*

x

 

x

Netbank*

x

x

Quelle: biallo.de, Angaben der Anbieter, Stand: April 2019

 

Kleinst-Überweisungen ohne TAN-Nummer

Geldtransfers werden auch ohne Multi-Onlinebanking-App immer unkomplizierter. Nachdem Online-Überweisungen zwischen bankeigenen Konten schon länger ohne Transaktionsnummer möglich sind, klappt das inzwischen auch zwischen Fremdkonten. Bei Online-Überweisungen bis 30 Euro zwischen zwei verschiedenen Banken benötigen Kontoinhaber bei vielen Geldhäusern keine Transaktionsnummer mehr.

Bei den Sparkassen, den Volks- und Raiffeisenbanken sowie Genossenschaftsbanken ist das Verfahren inzwischen weit verbreitet– aber auch Direktbanken wie Consors, ING oder Comdirect werben mit dem neuen Service.

Kein Risiko: Um die Kunden vom TAN-freien Verfahren zu überzeugen, geben die Geldhäuser weitreichende Sicherheitsversprechen. Bei Comdirect heißt es dazu: "Entstehen Ihnen beim Onlinebanking Schäden durch unrechtmäßige Transaktionen, dann ersetzen wir Ihnen den entsprechenden Geldbetrag."

Funktionsweise

Geldtransfers ohne TAN sind sowohl via Internetbanking am Computer möglich als auch via App über das Smartphone. Für Kleinbetragszahlungen bis 30 Euro sind Transaktionsnummern nicht mehr nötig. Die Anzahl der Online-Überweisungen ist allerdings begrenzt: Maximal fünf solcher Zahlungen hintereinander bis zu einer Gesamtsumme von 100 Euro sind ohne Eingabe einer TAN erlaubt.

Beispiel: Sie tätigen nacheinander vier Online-Überweisungen mit jeweils 30 Euro – macht insgesamt 120 Euro. Die vierte Zahlung erfordert damit eine TAN, da sie den zulässigen Gesamtbetrag von 100 Euro überschreitet. Tätigen Sie hingegen fünf Zahlungen zu jeweils 20 Euro, wird noch keine TAN-Eingabe erforderlich. Erst ab der sechsten Zahlung, oder wenn einer der Beträge 20 Euro überschreitet, verlangt das Programm eine TAN.


Diese Regelung gilt übrigens nicht pro Tag, sondern die Transaktionen werden fortlaufend addiert. Das bedeutet, dass die TAN-Eingabe alle fünf Online-Überweisungen beziehungsweise ab Beträgen von 100 Euro jeweils erneut erforderlich ist.

  • Beispiel Sparkasse: Mit der Sparkassen-App können Kunden über die Funktion Kwitt bis zu 30 Euro ohne TAN von Smartphone zu Smartphone schicken. Dafür muss lediglich die Mobilfunknummer des Geldempfängers bekannt sein, außerdem müssen beide Parteien das Onlinebanking der Sparkasse nutzen und die gleichnamige App auf ihrem Smartphone installiert haben.
  • Beispiel Volks- und Raiffeisenbanken: Kunden der VR-Banken nutzen den Service über die Funktion "Geld senden und anfordern" der VR-Banking App. Da die App mit der Funktion "Kwitt" der Sparkassen-App kooperiert, sind zum Beispiel Geldtransfers von VR-Bank-Konten zu Sparkassenkonten bis 30 Euro ohne TAN möglich. Der Einfachheit halber heißt die Funktion "Geld senden und anfordern" in der VR-Banking-App ebenfalls wie bei der Sparkasse "Kwitt".

Lesen Sie auch: Basiskonto ­– Große Gebührenunterschiede zwischen den Banken

Biallo.de, dahinter steckt erfahrener und unabhängiger Verbraucherjournalismus. Unsere Redaktion vereint Finanzjournalisten, Autoren und fachliche Experten, die dafür brennen, die vielfältigen Angebote und Themen der Finanzwelt zu analysieren und verständlich für Sie aufzubereiten. Dabei steht der praktische Nutzwert immer ganz oben auf der Agenda. Die Biallo-Redaktion informiert aber nicht nur auf biallo.de, sondern auch über unsere Podcasts und YouTube-Videos, unseren Newsletter sowie auf unseren Social-Media-Kanälen und in zahlreichen Printmedien.

So verdient Ihr Geld mehr

Der Newsletter von biallo.de ist eine exzellente Entscheidung, wenn es um Ihre Finanzen geht.

Wir freuen uns darauf, Ihnen mit Ihrer Zustimmung interessante Inhalte, Empfehlungen und Werbung von uns und unseren Partnern zu schicken, die genau auf Ihre Interessen zugeschnitten sind. Um dies zu ermöglichen, analysieren wir, wie Sie unsere Website nutzen (z.B. Seitenaufrufe, Verweildauer) und wie Sie mit unseren E-Mails interagieren (z. B. Öffnungs- und Klickraten). So erstellen wir ein Nutzungsprofil, das Ihnen die relevantesten Inhalte liefert, und ordnen Sie in passende Werbezielgruppen ein. Ihre Zustimmung können Sie jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung.