PIN-TAN-Verwaltung

PIN-TAN-Verwaltung
FinanzManager 2025 >> Hilfe-Themen >> Sicherheitsguide >>

Das Online-Banking im PIN/TAN-Verfahren funktioniert nach dem folgenden Prinzip:

Der Kunde erhält von seiner Bank einen Benutzernamen und eine PIN (Persönliche Identifikationsnummer), mit denen er sich am Banking-System der Bank anmelden kann. Zusätzlich erhält der Kunde von seiner Bank mit getrennter Post einen Block mit verschiedenen TAN (Transaktionsnummern), die er jeweils für einen kontobewegenden Geschäftsfall eingeben muss.

 

Damit ist das PIN/TAN-Verfahren ein zweistufiges Banking-Verfahren: Der Benutzer authentifiziert sich beim Banking-System mit seinem Benutzernamen und seiner PIN, kontobewegende Aktivitäten autorisiert er zusätzlich mit einer TAN. Ist eine TAN einmal erfolgreich für einen Geschäftsfall genutzt worden, ist sie verbraucht und kann nicht mehr verwendet werden.

 

Das PIN/TAN-Verfahren ist nicht an ein bestimmtes Sicherheitsprotokoll gebunden. Die Sicherheit Ihres Online-Banking hängt also von der Sicherheit des Übertragungsprotokolls und des verwendeten Rechners ab.

 

Generell sollten Sie folgende Hinweise beachten:

 

Speichern Sie sensible Daten (Passworte, PIN und TAN, Kreditkartennummern) nicht auf Ihrer Festplatte ab und bewahren Sie sie getrennt voneinander auf.

 

Ändern Sie regelmäßig Ihre PIN, am besten mindestens einmal pro Monat.

 

TAN dienen ausschließlich der Unterzeichnung von Online-Banking-Aufträgen. Eine Eingabe der TANs beim Anmeldevorgang ist niemals erforderlich.

 

Inzwischen existieren einige Erweiterungen, mit denen die Sicherheit des TAN-Verfahrens erhöht werden soll:

 

  • Das so genannte indizierte TAN-Verfahren (iTAN), bei dem für jede Transaktion eine bestimmte TAN aus Ihrer nummerierten TAN-Liste angefordert wird.

 

  • Die mobile TAN (mTAN) oder SMSTAN. Hier wird Ihnen die TAN für einen übermittelten Vorgang von Ihrer Bank per SMS zugesandt.

 

  • Beim eTan-Verfahren werden die TAN für jeden Vorgang mit Hilfe eines elektronischen Geräts, einem eTan-Generator, erzeugt.

 

  • chipTAN optisch (Flickering) Dieses neue Verfahren findet in Deutschland eine zunehmende Verbreitung. Die Kunden erwerben dazu einen TAN-Generator mit Ziffernfeld und Karteneinschub.

  • Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden.

  • Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei wird ein (Start-) Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt.

  • Auf dem Display des TAN-Generators werden im Anschluss die Empfängerkontonummer sowie der Überweisungsbetrag angezeigt. Diese müssen bestätigt werden.

  • Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird. In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen.

  • Kontrolliert der Benutzer aber die angezeigten Daten und benutzt keine Sammelüberweisung, ist die Sicherheit deutlich erhöht.

 

  • chipTAN manuell Der Kunde erwirbt ggf. kostenpflichtig einen TAN-Generator mit Ziffernfeld und Karteneinschub als weiteres Elektronikgerät. Eine Ersatzlösung mit einem bereits vorhandenen Gerät ist nicht vorgesehen.

  • Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden und dieser (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt werden.

  • Danach werden die Empfängerkontonummer sowie der Betrag der Überweisung am TAN-Generator eingetippt. Die mehrmalige Eingabe derselben Information nacheinander an zwei Geräten ist weniger komfortabel.

  • Aus den am TAN-Generator eingegebenen Daten errechnet der TAN-Generator eine auftragsbezogene TAN, die im Online-Banking erneut manuell mit der Tastatur des Online-Platzes eingegeben wird.

  • Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, nachdem die Empfängerkontonummer und der Betrag genauso, wie am TAN-Generator erneut eingegeben sind. Die Relevanz solcher Botschaften ist zeitlich beschränkt, da die Anbieter stets versuchen werden, die Lücken zu schließen.

  • Bei einem Verlust der Bankkarte können durch den Finder mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

  • Sobald eine Bankkarte gesperrt wird (z.B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.