Abschied von der Tan-Liste : Das sind die alternativen Tan-Verfahren

Die Tan-Liste aus Papier wird bis September abgeschafft. Wir zeigen, welche Tan-Verfahren es gibt und wie sicher sie sind.

Viele Bankkunden nutzen das Smartphone, um Tans zu generieren.
Viele Bankkunden nutzen das Smartphone, um Tans zu generieren.Foto: shutterstock

Die Tan-Liste war für viele Verbraucher einst der Einstieg ins Onlinebanking. Wollten sie Geld überweisen, suchten sie auf dem Papier das angeforderte Einmalpasswort (Tan) raus und strichen sie anschließend händisch durch. Manche Nutzer sind dem Verfahren bis heute treu geblieben – und müssen sich nun umstellen. Denn die klassische Tan-Liste hat ausgedient, sie wird zum 14. September abgeschafft.

Ab September dürfen solche Tan-Listen nicht mehr zum Einsatz kommen.
Ab September dürfen solche Tan-Listen nicht mehr zum Einsatz kommen.Foto: imago

Mit dem Aus der Papier-Tanliste setzen die Banken eine Vorgabe der EU um, die verlangt, dass Tan dynamisch generiert werden: dass also eine App oder ein Gerät sie erst in dem Moment erzeugt, in dem der Nutzer sie braucht.

Der Grund: Die alten Tan-Listen haben es Betrügern schlicht zu einfach gemacht. Da reichte es schon, die Post abzufangen, um an die Tan zu kommen. Auch mit fingierten Mails haben Kriminelle immer wieder Verbraucher um die Eingabe von Tans gebeten und dann Geld von deren Konto ergaunert. Sowohl das Bundeskriminalamt als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufen die Papier-Tan-Liste deshalb als unsicher ein. Sie böte „nur einen eingeschränkten Schutz vor Phishing-Angriffen“, schreibt etwa das BSI.

Wer zahlt, wenn Geld vom Konto verschwindet

Das heißt im Umkehrschluss aber nicht, dass alle anderen Tan-Verfahren hundertprozentig sicher sind. Die Experten vom BSI raten, sich bereits vor der Wahl des Kontos zu überlegen, welches Verfahren man nutzen will und dann zu prüfen, ob die Wunschbank es anbietet.

Grundsätzlich ist zwar das Geldinstitut für die Sicherheit zuständig und haftet, wenn Kriminelle Geld vom Konto ergaunern. Die Bank muss den Schaden also begleichen. Das gilt aber nur, wenn der Kunde nicht grob fahrlässig gehandelt hat. Wann das aber wiederum der Fall ist, ist Auslegungssache und muss im Zweifel ein Richter klären. Grob fahrlässig ist es in der Regel zum Beispiel, wenn der Bankkunde kein aktuelles Virenprogramm auf seinem Computer installiert hat, den er fürs Onlinebanking nutzt. Oder wenn er auf eine Phishing-Mail reinfällt, in der er aufgefordert wird, Daten auf einer gefälschten Internetseite einzugeben.

Was Verbraucher tun können, um sich zu schützen

Manche Banken geben Kunden aber auch von sich aus eine Sicherheitsgarantie. Soll heißen: Sie übernehmen die Haftung für den Fall, dass Kriminelle Gelder abbuchen. Diese Sicherheitsgarantie bieten aber eben nicht alle Institute. Und: Bei manchen bekommen Kunden sie auch nur auf Nachfrage.

Besonders schwer machen Kunden es Gaunern, wenn sie für die Generierung von Tans zwei Geräte nutzen. Wenn sie über eins also die Überweisung tätigen und über das andere die Tan generieren. Diese zwei Geräte können der Laptop und ein Tan-Generator sein, es können aber Laptop und Smartphone sein.

Die Tan-Verfahren, die Banken anbieten, sind sehr unterschiedlich. Wir zeigen, welche es gibt sowie welche Vor- und Nachteile sie haben:

Der Tan-Generator ist nicht mit dem Internet verbunden und kann so kaum manipuliert werden.
Der Tan-Generator ist nicht mit dem Internet verbunden und kann so kaum manipuliert werden.Foto: imago

DER TAN-GENERATOR

Manche Banken setzen auf einen Tan-Generator, der vom Aussehen her einem kleinen Taschenrechner ähnelt.

DER VORTEIL: Über den Generator erzeugt der Bankkunde selbst eine Tan, die nur für eine begrenzte Zeit gültig ist. Wer auf dieses Verfahren setzt, bekommt während des Überweisungsvorgangs per Online-Banking meist einen flackernden Strichcode angezeigt. Den muss man dann mit dem Generator einscannen. Anschließend gleicht man auf dem Display des Generators ab, ob Kontonummer und Betrag korrekt sind, bevor das Gerät die Tan anzeigt.

DER NACHTEIL:  Setzt man auf dieses Verfahren, kann man per Online-Banking nur Überweisungen tätigen, wenn man gerade seinen Tan-Generator zur Hand hat. Dazu kommt, dass die Banken das Gerät meist nicht kostenlos ausgeben, sondern dafür neun bis 15 Euro verlangen. Bestellen kann man den Generator in der Bankfiliale oder man kauft ihn im Elektronikmarkt. Bei der ersten Benutzung muss man das Gerät in der Regel übers Onlinebanking freischalten.

DIE SICHERHEIT: Die Stiftung Warentest schätzt die Sicherheit dieses Verfahrens als „sehr hoch“ ein. Um dennoch Geld abzuzweigen, müssten Kriminelle sowohl den Zugang zum Onlinebanking knacken als auch an den Generator und die Bankkarte kommen. Mit einzelnen Tans können die Diebe dagegen nichts anfangen, weil sie immer an die jeweilige Überweisung gebunden sind. Den Generator selbst kann man aus der Ferne nicht knacken, da er nicht mit dem Internet verbunden ist.

Beim Push-Tan-Verfahren erzeugt man die Tan mit einer speziellen App.
Beim Push-Tan-Verfahren erzeugt man die Tan mit einer speziellen App.Foto: imago

Die PUSH-TAN

Viele Banken bieten separate Apps an, um Tan zu generieren. Dieses Verfahren wird häufig auch als Push-Tan bezeichnet.

DER VORTEIL: Durch dieses Verfahren kann man leichter Überweisungen per Smartphone tätigen. Dabei trägt man in der klassischen Banking-App die Daten des Kontoempfängers und den Betrag ein – mit der anderen App generiert man dann die Tan. Einen separaten Tan-Generator braucht man nicht.

DER NACHTEIL: Erstmals aktivieren kann man die App nur mit den Zugangsdaten, die die Bank einem per Post zuschickt.

DIE SICHERHEIT: Auch bei diesem Verfahren stuft die Stiftung Warentest die Sicherheit lediglich als „hoch“ und nicht als „sehr hoch“ ein. So ist es Wissenschaftlern unter Laborbedingungen gelungen, das Verfahren zu knacken und Überweisungen auf ein anderes Konto umzuleiten.

Manche Banken schicken Kunden die Tan-Nummern auch per sms.
Manche Banken schicken Kunden die Tan-Nummern auch per sms.Foto: imago

DIE SMS-TAN

Lässt ein Kunde seine Handynummer bei der Bank registrieren, kann das Institut ihm die Tan auch per SMS schicken. Das Verfahren nennt sich daher SMS-Tan oder mobile-Tan.

DER VORTEIL: Man braucht dafür nicht zwangsläufig ein Smartphone – es funktioniert ebenso gut mit einem älteren Handy. Außerdem ist keine separate App nötig.

DER NACHTEIL: Nicht alle Banken bieten das Verfahren an. Die Berliner Sparkasse schaltet die SMS-Tan zum Beispiel gerade sukzessive ab. Sie will künftig vorrangig auf die Push-Tan setzen. Bei der Deutschen Bank dagegen fallen pro verschickter SMS-Tan neun Cent Gebühren an.

DIE SICHERHEIT: Die Stiftung Warentest stuft die Sicherheit des Verfahrens lediglich als „hoch“, nicht als „sehr hoch“ ein. Nutzen sollte man die SMS-Tan daher nur, wenn man für die eigentliche Überweisung ein zweites Gerät einsetzt, also etwa den Laptop oder das Tablet. Will man dagegen Überweisungen über die App auf dem Smartphone ausführen, sollte man sich lieber für ein anderes Tan-Verfahren entscheiden. Denn sonst kann es sein, dass man auf dem Schaden sitzen bleibt, wenn Kriminelle das Konto plündern. Verbraucherschützer warnen, dass die Bank in einem solchen Fall keine Haftung übernimmt. Sie raten zudem, während der Überweisung nicht das Smartphone per Kabel mit dem Laptop zu verbinden. Auch sollten Nutzer die Daten in der SMS prüfen: Enthalten muss die Kurznachricht neben der Tan den Betrag und die Kontonummer des Empfängers. Taucht in der SMS hingegen eine unbekannte Kontonummer auf, sollte man die Überweisung abbrechen und die Bank kontaktieren. Grundsätzlich gilt: regelmäßig Kontostand und Zahlungen prüfen. So ist es Kriminellen bereits gelungen, beim Mobilfunkunternehmen eine zweite Sim-Karte zu bestellen und so SMS-Tannummern abzufangen. Auch sollen Betrüger bereits Schwachstellen im Mobilfunknetz genutzt haben, um SMS umzuleiten.

Bei Photo-Tans muss man eine bunte Grafik abfotografieren.
Bei Photo-Tans muss man eine bunte Grafik abfotografieren.Foto: imago

DIE PHOTO-TAN

Beim Photo-Tan-Verfahren bekommt der Nutzer eine farbige Grafik angezeigt, die er mit einem speziellen Lesegerät einscannen muss. Dieses zeigt ihm danach noch einmal die Überweisungsdaten zur Kontrolle an und dann die Tan. Alternativ zum externen Lesegerät bieten einige Banken auch eine Photo-Tan-App an: In dem Fall scannt man die Grafik mit dem Smartphone, das einem dann die Tan anzeigt.
DER VORTEIL: Man hat die Wahl zwischen App und Tan-Generator.

DER NACHTEIL: Der externe Tan-Generator kostet um die 30 Euro. Nutzt man ihn, ist man aufgeschmissen, wenn man zum Beispiel im Urlaub eine Überweisung tätigen will und den Generator nicht dabei hat.

DIE SICHERHEIT: Nur mit einem externen Generator stuft Stiftung Warentest die Sicherheit als „sehr hoch“ ein, mit der App lediglich als „hoch“. Der Grund: Wissenschaftlern ist es unter Laborbedingungen in der Vergangenheit bereits gelungen, das Photo-Tan-App-Verfahren zu knacken. Dafür haben sie zuvor eine Schadsoftware auf dem Smartphone installiert – anschließend konnten sie per Banking-App und Photo-Tan beliebig Gelder überweisen. Wer auf der sicheren Seite sein will, sollte die Photo-Tan-App daher nicht nutzen, wenn er für die Überweisung gleichzeitig die Banking-App auf demselben Smartphone nutzt. Besser ist es, ein Gerät für die Überweisung zu nutzen und ein zweites für die Tan-Generierung. Diese zwei Geräte können zum Beispiel auch Smartphone und Laptop sein.

Auch der QR-Code kommt schon mal zum Einsatz.
Auch der QR-Code kommt schon mal zum Einsatz.Foto: imago

DER QR-CODE

Ebenfalls das Smartphone für die Generierung des Einmalpassworts nutzen kann man mit dem QR-Tan-Verfahren. Es ähnelt dem Photo-Tan-Verfahren, nur dass statt eines farbigen Mosaiks ein schwarz-weißer QR-Code angezeigt wird. Diesen Code scannt man mit der Kamera des Smartphones. Nach dem Prüfen der Daten bekommt man die Tan angezeigt.

DER VORTEIL: Man muss keinen separaten Tan-Generator kaufen.

DER NACHTEIL: Man braucht eine App, die QR-Codes auslesen kann.

DIE SICHERHEIT: Die Stiftung Warentest stuft die Sicherheit als „sehr hoch“ ein. Wissenschaftler konnten das Verfahren aber knacken, indem sie den fürs Onlinebanking genutzten PC mit Schadsoftware infizierten.

Das Bestsign-Verfahren funktioniert über einen speziellen Stick.
Das Bestsign-Verfahren funktioniert über einen speziellen Stick.Foto: promo

DAS BESTSIGN-VERFAHREN

Das BestSign-Verfahren setzt statt der klassischen Tan auf eine digitale Signatur. Um das nutzen zu können, braucht man ein Zusatzgerät. Das verbindet man mit dem Computer, je nach Modell per USB-Anschluss oder Bluetooth. Ähnlich wie bei der Chip-Tan zeigt das Gerät dann Kontonummer und Betrag zur Kontrolle an – bestätigen muss man die Überweisung nur noch per Knopfdruck oder Eingabe seiner Pin-Nummer.

DER VORTEIL: Man muss keine Tan eingeben.

DER NACHTEIL: Bislang wird das Verfahren einzig von der Postbank angeboten. Zudem kostet das nötige Gerät bis zu 45 Euro.

DIE SICHERHEIT: Die Stiftung Warentest stuft die Sicherheit dieses Verfahrens als „sehr hoch“ ein – allerdings nur, wenn man die Überweisung am Computer ausführt. Nutzt man stattdessen das Mobiltelefon, stufen die Warentester die Sicherheit nur noch mit „hoch“ ein: Auch in diesem Fall ist es Wissenschaftlern bereits gelungen, unter Laborbedingungen das Verfahren zu knacken.