smsTAN: Ist es sicher und wie funktioniert es?

Marco Kratzenberg

smsTAN, manchmal auch mTAN (mobileTAN) genannt, ist eine der drei Möglichkeiten, mit denen man Überweisungen tätigen und autorisieren kann. Hier erfahrt ihr, wie das Verfahren funktioniert, ob es sicher ist und welche Alternativen ihr habt.

TANs werden immer wichtiger, weil durch die „zweite Zahlungsdiensterichtlinie der EU“ (PSD2) zusätzliche Sicherungsmethoden nötig werden. Bislang haben viele Kunden per SMS eine neue Tan (smsTAN) zugewiesen bekommen. Allerdings hat das Verfahren einige Nachteile.

Mit Google Pay: Comdirect-Konto eröffnen und 75 Euro kassieren *

So funktioniert die smsTAN

Damit ihr am smsTAN-Verfahren teilnehmen könnt, müsst ihr euch bei der Bank unter anderem mit eurer Handy-Nummer registrieren. Dadurch wird eine direkte Verbindung zwischen eurem Bankkonto und dieser registrierten Handy-Nummer hergestellt.

Wichtig: Dieses Verfahren eignet sich nur für euch, wenn ihr eure Bankgeschäfte nicht auf demselben Gerät durchführt, auf dem ihr diese SMS empfangt. Die smsTAN darf nicht auf dem Handy empfangen werden, mit dem ihr Online-Banking macht.

So bekommt ihr dann eure smsTAN:

  1. Startet eine Überweisung oder einen Dauerauftrag, für den ihr eine TAN benötigt.
  2. Füllt alle nötigen Felder aus und sendet das Formular ab.
  3. Ihr werdet dazu aufgefordert, eine TAN als Bestätigung einzugeben. Gleichzeitig wird euch diese TAN auf euer Handy geschickt.
  4. Tragt die TAN ins Feld ein und schickt das Formular endgültig ab.
Bilderstrecke starten
5 Bilder
Hier könnt ihr online anonyme SMS ohne Absender schicken.

Ist das smsTAN-Verfahren wirklich sicher?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Verwendung des smsTAN-Verfahrens. Da es sich dabei um eine weitgehend ungesicherte und unverschlüsselte Übertragung der TAN handelt, besteht die Gefahr, dass sie von Kriminellen abgefangen beziehungsweise mitgehört wird.

Was die smsTAN auf den ersten Blick als unsicher erscheinen lässt, ist aber eigentlich nur ein theoretisches Planspiel, bei dem viele Faktoren zusammenkommen müssen, damit etwas schiefgeht. Jede auf diese Weise erzeugte TAN bezieht sich schließlich auf eine ganz bestimmte Transaktion, bei der die Summe und der Empfänger bereits feststehen.

Um eine smsTAN unsicher machen zu können, müssten die Angreifer gleichzeitig in der Lage sein, die Summe und den Empfänger der Zahlung zu ändern, ohne dass der Absender es merkt. Diese Änderung würde allerdings wieder eine neue TAN notwendig machen.

So wird das Verfahren dadurch zusätzlich abgesichert, dass zusammen mit der TAN noch Informationen zum Betrag und zum Empfänger mitgesendet werden. So kann man vor der Verwendung der TAN noch einmal kontrollieren, ob alles stimmt.

Deutsche Bundesbank - Änderungen beim Online-Banking.

Welche Alternativen zur smsTAN gibt es?

Nachdem TAN-Listen verboten wurden, müssen die Banken technische Lösungen anbieten. Eine der ältesten, die aber einige Geldinstitute schon nicht mehr anbieten, ist die smsTAN. Daneben gibt es noch zwei andere Alternativen:

chipTAN Bei der chipTAN wird eine Bank- oder Kreditkarte mit einem Chip in ein Lesegerät eingeschoben. Dann muss dieses Gerät einen flackernden Strichcode oder einen QR-Code einlesen.

Nach Bestätigung der Transaktionsdaten wird eine individuelle TAN generiert.

pushTAN Die pushTAN ähnelt der smsTAN insofern, als ihr euch dafür registrieren müsst. Dann wird bei jeder Transaktion eine TAN zu einer App auf eurem Handy geschickt.

Die chipTAN gilt als die sicherste Methode, da sie auf spezielle Hardware (Lesegeräte) setzt. Aber auch die pushTAN hat gegenüber der smsTAN Vorteile: Die empfangende App wird durch ein Passwort oder biometrische Prüfung geschützt. Der Datentransfer ist verschlüsselt. Außerdem könnt ihr auf den Lesegeräten oder in der App auch manuell eine Einmal-TAN erzeugen, wenn das Handy keine Verbindung hat.

Zu den Kommentaren

Kommentare zu diesem Artikel

Neue Artikel von GIGA TECH

* Werbung