Inhaltsverzeichnis hier öffnen:
TAN Verfahren im Überblick
Eine TAN ist eng, man könnte auch sagen als Junktim mit dem Online-Banking verbunden. Die heutige Norisbank GmbH mit Geschäftssitz in Bonn war im Jahr 1980 das deutschlandweit erste Kreditinstitut mit dem Angebot Onlinebanking. Aus dem bis dahin ausschließlich für den bankinternen Gebrauch verwendeten PIN/TAN-Verfahren wurde für das Onlinebanking durch den Kontoinhaber das TAN-Verfahren. Heutzutage, knapp 40 Jahre später, werden PIN und TAN getrennt voneinander genutzt. Die Persönliche Identifikationsnummer PIN wird für Barverfügungen am Geldautomaten sowie für bargeldlose Zahlungen im Einzel- und im Onlinehandel verwendet; die TAN hingegen ausschließlich für Onlinebanking im bargeldlosen Zahlungsverkehr über das Girokonto.
Die Transaktionsnummer – ohne TAN kein Onlinebanking
Von ihrem Ursprung her hat die TAN zwei Ziele; zum einen ist sie die sechsstellige Freigabenummer für den jeweiligen Überweisungsauftrag, zum anderen hat sie die Funktion eines Zugriffsschutzes. Ohne TAN ist seit jeher und auch heute kein Onlinebanking möglich. Im Laufe der vergangenen Jahrzehnte ist das TAN-Verfahren systematisch verbessert und verfeinert worden. Einer der Hauptgründe dafür war und sind Missbrauch sowie Diebstahl. Unberechtigte Dritte verschaffen sich auf illegalem Weg einen Onlinezugang und stehlen sowohl Daten als auch Geld. Das unter allen Umständen zu verhindern ist sowohl im Interesse des kontoführenden Kreditinstitutes als auch des Kontoinhabers. Der Zugang für Daten- und Gelddiebe ist immer die TAN; sie ist der letzte, endgültige Schlüssel zur Freigabe der Onlineüberweisung. Kurz gesagt: Ohne die TAN geht nichts, mit TAN hingegen ist alles möglich. Das ist Grund genug, um sich einmal näher mit diesem Einmalkennwort zu befassen. Es ist immer einmalig und wird nur für einen einzigen Zahlungsvorgang generiert.
TAN-Liste – ein aus heutiger Sicht antiquiertes Verfahren
Zu Beginn des Onlinebanking bekam der Kontoinhaber eine TAN-Liste per Briefpost zugeschickt mit der dringlichen Aufforderung, sie diebstahlsicher aufzubewahren. Auf einer A4-Seite waren mehrere Dutzend TANs aufgeführt, die wahlweise nach eigener Entscheidung und in beliebiger Reihenfolge verwendet werden konnten. Zu jedem Onlineauftrag gehörte eine TAN. Deren Verwendung sollte sich der Kontoinhaber notieren, um eine Zweifachnutzung zu vermeiden. Bei Diebstahlverlust der TAN-Liste musste das Girokonto sofort gesperrt werden. Die Reaktivierung des Kontos nebst Zusendung einer neuen TAN-Liste war zeitaufwändig, kostenintensiv und höchst ärgerlich. Die Fortführung der damaligen TAN-Liste ist das iTAN-Verfahren. Sobald der Überweisungsauftrag online freigegeben ist, bekommt der Kontoinhaber einen Online-Bestätigungscode darüber zugeschickt, weiche TAN aus der Liste verwendet werden muss.
TAN per SMS für Handybenutzer
Die TAN-Benutzung per Mobilfunk wird wahlweise als mTAN, smsTAN oder als mobilTAN bezeichnet. Für dieses TAN-Verfahren ist die parallele Benutzung eines Handys notwendig; bildlich gesprochen liegt es für das Onlinebanking neben dem Endgerät PC oder Notebook. Die Handynummer des Kontoinhabers ist beim kontoführenden Kreditinstitut registriert. Für jeden einzelnen Onlineauftrag wird eine TAN generiert und binnen Sekundenfrist per SMS an die registrierte Handynummer geschickt. Dort wird sie abgerufen und in den Onlineauftrag eingetragen, der anschließend und nur jetzt mit dem Mausklick „Überweisen“ ausgeführt werden kann. Nach einer vom Kreditinstitut festgelegten Frist, zum Beispiel nach 10 oder 15 Minuten, verfällt aus Sicherheitsgründen diese TAN; für den betreffenden Auftrag muss auf demselben Weg eine neue mTAN generiert, in dem Sinne abgerufen werden.
pushTAN per App der Hausbank
Die pushTAN ist eine Weiterentwicklung der mTAN für mobile Endgeräte wie Smartphone oder iPhone. Das Verfahren basiert auf einer eigenen App des jeweiligen Kreditinstitutes. Die für jeden einzelnen Onlineauftrag generierte TAN wird nicht per SMS zugeschickt, sondern in der pushTAN-APP angezeigt. Gegenüber dem „einfachen“ Zusenden mTAN ist die Eingabe eines Passwortes nach dem Öffnen der App auf dem mobilen Endgerät eine zusätzliche Sicherheit; diese eingegebenen Daten werden jedes Mal aufs Neue geprüft. Zu den Schutzmechanismen gehören der Passwortschutz sowie ein kryptografischer Schlüssel. Zur erhöhten Sicherheit sollten auch für das pushTAN zwei eigene Endgeräte genutzt werden, also beispielsweise Smartphone oder Tablet + PC oder Notebook.
eTAN – Generator mit und ohne Girokarte
Das Generieren der TAN mit einem separaten Gerät, dem TAN-Generator wird eTAN, chipTAN oder auch smartTAN genannt. Bei den TAN-Geratoren wird in diejenigen mit und ohne Bank- respektive Girokarte unterschieden. Für jeden einzelnen Überweisungsvorgang ermittelt der Generator auf Grundlage einer internen Verschlüsselung eine dazugehörige TAN. Von den Kreditinstituten werden mehrere unterschiedliche eTAN-Verfahren angeboten, und zwar
eTAN „einfach“
Nach dem Eingeben der Auftragsdaten für die Onlineüberweisung wird auf Anforderung hin von dem kontoführenden Kreditinstitut online eine Kontrollziffer übermittelt. Nach deren Eingabe in den TAN-Generator wird die für den betreffenden Onlineauftrag zu verwendende TAN angezeigt
eTan „plus“
Zusätzlich zu eTAN „einfach“ wird die Girokarte in den TAN-Generator hineingesteckt. In Verbindung mit der jetzt erzeugten Kontrollnummer wird die TAN erzeugt, angezeigt und auf dieselbe Weise verwendet
chipTAN „manuell, sm@rt, plus1, secure…“
Die Daten für den einzelnen Onlineauftrag müssen sowohl in das Endgerät PC oder Notebook als auch in den TAN-Generator, also doppelt eingegeben werden. Erst durch diese Doppelung wird die zu verwendende TAN generiert
chipTAN „Flickering“
Hierbei handelt es sich um eine modifizierte chipTAN-Variante. Die in das Endgerät PC oder Notebook eingegebenen Überweisungsdaten werden vom Kreditinstitut umgerechnet und in eine Flickering-Grafik umgewandelt. Das englische Wort flickering heißt zu Deutsch flackern, flimmern oder blinken. Die Girokarte wird in den TAN-Generator eingeführt und an den Flickering-Code gehalten. Im Anschluss an das Dateneinlesen sowie eine abschließende Kontrolle aller Eingaben wird nach einem OK die für den betreffenden Onlineauftrag generierte TAN angezeigt und so wie bei eTAN insgesamt genutzt
photoTAN und QR-TAN – Nonplusultra an Sicherheit nach knapp 40 Jahren
Beide Verfahren, die sich zwar ähneln und doch voneinander unterscheiden, sind den mobilen Endgeräten wie Smartphone, Tablet und anderen vorbehalten. Auf denen wird eine App installiert und beim kontoführenden Kreditinstitut registriert. Nach Eingabe des Onlineauftrages und Übertragung an das kontoführende Kreditinstitut wird auf dessen Webseite eine Grafik mit der darin verschlüsselten TAN generiert. Das ist für die photoTAN eine bunte Grafik, und für die QR-TAN ein QR-Code. QR steht für das englische quick response, ins Deutsche übersetzt schnelle Antwort. Der Kontoinhaber fotografiert Grafik oder Code mit dem Smartphone beziehungsweise mit einem separaten Lesegerät. Durch eins wie das andere wird der Code entschlüsselt. Die für den einzelnen Auftrag generierte TAN wird angezeigt und jetzt wie jede andere eTAN genutzt.
Diese Übersicht der TAN-Verfahren macht deutlich…
wie fortschrittlich und gleichzeitig auch aufwändig sich das Generieren der TAN bis in die heutige Zeit hinein entwickelt hat. Mit Kreditinstitut und Kontoinhaber sind immer zwei Parteien beteiligt. Die „gefährliche Schnittstelle“ für Diebstahl und Missbrauch der Überweisungsdaten sind Art und Weg der Datenübertragung. Dass sich hier im wahrsten Sinne des Wortes viel getan hat, zeigt sich eindrucksvoll an einem direkten Vergleich zwischen TAN-Liste und photoTAN.