iTAN, mTAN, chipTAN? Alle TAN-Verfahren im Überblick

Erst den Benutzernamen, dann die PIN und zuletzt auch noch eine TAN eingeben? Für viele Onlinebanking-Nutzer sind die strengen Sicherheitsvorkehrungen ein notwendiges Übel, auf das sie gerne verzichten würden. Dabei trägt vor allem die Transaktionsnummer seit ihrer Einführung im Jahr 1976 effektiv zum Schutz der eigenen Finanzen bei – vorausgesetzt natürlich, der Kontoinhaber wendet das jeweilige TAN-Verfahren korrekt an und fällt nicht auf die Betrugsmaschen von Cyberkriminellen herein. Welche Verfahren es gibt, wie sicher sie sind und was Sie selbst tun können, um Ihr hart verdientes Geld vor Daten-Dieben zu schützen, erfahren Sie in diesem Ratgeber.

Was sind TANs?

Eine TAN ist ein üblicherweise aus sechs Dezimalziffern bestehendes Einmalkennwort. Im Ausland wird es auch häufig als „one-time password“ (kurz: OTP, in Verbindung mit einer zeitlichen Komponenten TOTP - Time-based One-time Password) bezeichnet. Es kommt vor allem bei Überweisungen und Einstellungsänderungen im Onlinebanking zur Anwendung. TANs gehören zu den am häufigsten genutzten Hilfsmitteln der Zwei-Faktor-Authentifizierung und schaffen zusätzlich zum Benutzernamen und zur PIN eine weitere Zugriffshürde: Sie sollen somit verhindern, dass Kriminelle unbefugt Kontrolle über fremde Bankkonten erlangen. Auch wenn selbige bereits Ihre PIN mithilfe von Phishing oder Trojanern erbeutet haben, können sie ohne TAN keine Überweisungen veranlassen. Das wird dadurch gewährleistet, dass jede TAN direkt mit sensiblen Daten wie der IBAN und dem Überweisungsbetrag verbunden ist – darüber hinaus ist eine TAN nur für eine einzelne Transaktion und auch nur zeitlich (meist auf ein paar wenige Minuten) begrenzt gültig.

Was sind TAN-Verfahren und wie funktionieren sie?

Ein TAN-Verfahren bezeichnet die Methode, mit der eine aktuell gültige TAN an den legitimen Nutzer übermittelt und zum Zweck seiner Authentifizierung verwendet wird. Es existieren mehrere verschiedene Verfahren – das Grundprinzip ist aber bei allen sehr ähnlich:

  1. Zuerst loggen Sie sich im Internetportal Ihrer Bank, über eine Onlinebanking-App oder eine Banking-Software ein, erstellen Ihre Überweisung und schicken sie ab.

  2. Die von Ihnen eingegebenen Überweisungsinformationen werden nun noch einmal angezeigt. Überprüfen Sie diese genau, um sicherzugehen, dass es sich wirklich um Ihren Auftrag handelt und er nicht in irgendeiner Weise von Dritten manipuliert wurde. Bestätigen Sie dann die Überweisung.

  3. Nun bittet Ihre Bank um eine gültige TAN. Diese wird dem Verfahren entsprechend generiert, das Sie im Vorfeld festgelegt haben. Indem Sie die aktuell gültige Transaktionsnummer eingeben, verifizieren Sie Ihre Überweisung und sie wird ausgeführt.

Welche TAN-Verfahren gibt es in Deutschland?

Vielleicht erinnern Sie sich noch daran: Früher gab es die persönliche TAN nur in Form einer durchnummerierten Liste auf Papier, die man von seiner Bank zugeschickt bekam. Um Transaktionen zu legitimieren, musste man beim Onlinebanking einfach eine beliebige TAN von der Liste eingeben. Waren alle Nummern aufgebraucht, bestellte man sich eine neue. Die Schwachstellen dieses klassischen Verfahrens sind offensichtlich: Ging die Liste verloren, fielen dem Finder sämtliche noch gültigen Transaktionsnummern in die Hände. Aus diesem Grund ersetzten ab 2005 neuere und sicherere Verfahren die klassische TAN-Liste. Die meisten davon nutzen digitale Technologien.

Laut einer Spiegel-Umfrage bieten die elf wichtigsten Privatkunden-Banken in Deutschland gleich mehrere dieser neuen TAN-Verfahren zur Auswahl. Um eines davon nutzen zu können, müssen Sie sich dafür allerdings zunächst mit einem Aktivierungscodes Ihrer Bank registrieren. Einige Anbieter erlauben auch die gleichzeitige Verwendung mehrerer Verfahren – bei anderen müssen Sie sich auf eines festlegen, können aber später durchaus wechseln. Unter Umständen kann die Beantragung eines TAN-Verfahrens mit einer Gebühr verbunden sein – das ist insbesondere bei einigen mTAN- und nahezu sämtlichen HBCI-Angeboten der Fall.

Die einzelnen Verfahren unterscheiden sich sowohl hinsichtlich der Anforderungen und Anschaffungskosten als auch hinsichtlich des Nutzerkomforts und des Sicherheitsgrads. Vor der Entscheidung für ein Girokonto lohnt sich daher auch ein kritischer Blick auf die verfügbaren TAN-Verfahren.

Auslaufmodell: Das iTAN-Verfahren

Die sogenannte „indizierte TAN-Liste“ ist der direkte Nachfolger der klassischen TAN-Liste und war lange Zeit das Standardverfahren im Onlinebanking für Privatkunden. Die wichtigste Neuerung gegenüber dem Vorgänger: Der Kunde kann seine Überweisungsaufträge nicht länger mit einer beliebigen, aus seiner Liste frei wählbaren TAN verifizieren: Stattdessen gibt das jeweilige Geldinstitut eine ganz bestimmte Positionsnummer (Index genannt) vor, die zu einer Transaktionsnummer auf der Liste passt und die im Vorfeld nicht voraussehbar ist.

Zwar sorgt diese kleine Modifikation theoretisch für eine höhere Sicherheit, sie ist aber auch mit einigen Nachteilen verbunden: Da man vorher nie weiß, welche TAN die Bank fordern wird, muss man für Zahlungsgeschäfte stets die gesamte Liste zur Hand haben. Während man sich also bei der klassischen Variante einzelne TANs herausschreiben konnte, die dann nicht direkt als TANs erkennbar waren (immerhin konnte es sich theoretisch auch um Telefonnummern handeln), ist eine iTAN-Liste praktisch immer als solche zu erkennen.

Fälle, in denen Kriminelle solche Listen erbeuteten und für betrügerische Aktivitäten nutzten, häuften sich auch bei diesem Verfahren. Schnell galt daher auch die iTAN nicht als hundertprozentig sicher. Die Erweiterung iTANplus und die Einführung einer Bestätigungsnummer (BEN) erhöhten die Sicherheit nur geringfügig.

Allerdings bieten einige Banken weiterhin iTAN-Listen an – wenn auch nur als „Mindestschutz“, von dem selbst die Anbieter abraten und auf modernere Verfahren hinweisen. In erster Linie nutzen also lediglich solche Bestandskunden diese Methode, denen ein Wechsel zu anderen Verfahren zu aufwändig war. Aber bald wird auch mit der iTAN-Liste Schluss sein: Denn 2019 wird die iTAN im Zuge der für alle Banken geltenden Neufassung der EU-Zahlungsdienstrichtlinie PSD2 endgültig abgeschafft. Sollten Sie also immer noch mit der analogen Liste arbeiten, wird es so langsam Zeit, sich für eines der anderen TAN-Verfahren zu entscheiden.

Banking mobile: Das mTAN-Verfahren

Das Sicherheitskonzept des mTAN-Verfahrens (auch smsTAN- oder mobileTAN-Verfahren genannt) beruht auf der Verwendung eines Zweitgeräts, das man in der Regel ergänzend zum Laptop oder zum Computer nutzt, mit dem man sich fürs Onlinebanking eingeloggt hat. Möchte man eine Überweisung verifizieren, schickt die Bank einem eine frisch generierte TAN via SMS (unter Umständen können dafür Mobilfunkgebühren anfallen) an das Mobiltelefon oder Smartphone des Kunden. Dieser tippt die TAN dann in dem Formular seiner Onlinebanking-Anwendung ein.

Aufgrund der weiten Verbreitung von Handys gilt das mTAN-Verfahren als das beliebteste TAN-Verfahren der Deutschen, weshalb die meisten Banken es auch als Standard anbieten. Da es nicht nötig ist, eine Papierliste zu verwahren, ist mTAN schon durch sein Grundkonzept um ein Vielfaches sicherer als das iTAN-Verfahren. Zudem kann der Kunde seine Überweisungsdaten (vor allem Zielkontonummer und Überweisungsbetrag) noch einmal auf einem separaten Gerät überprüfen, um sogenannte Man-in-the-Middle-Attacken (siehe Punkt 5 „Welche Sicherheitsaspekte sind beim Umgang mit TAN-Verfahren zu beachten?“) zu entlarven.

Zwar bietet es sich geradezu an, Onlinebanking und TAN-Empfang über ein- und dasselbe Gerät laufen zu lassen, die meisten Banken verhindern dies aber durch technische Hürden. Denn liefe beides ein Gerät, würde das die Sicherheit bei Überweisungsaufträgen erheblich senken. Somit ist eine solche Trennung auch im Sinne des Kunden: Denn verliert der Nutzer sein Smartphone, könnten ohne diese Trennung Fremden beide Authentifizierungsfaktoren in die Hände fallen. Aus diesem Grund sollte man fürs Onlinebanking stets ein separates Gerät verwenden.

Bei einer Trennung von Onlinebanking und TAN-Empfang bietet das mTAN-Verfahren einen mittleren bis hohen Sicherheitsgrad. Jedoch hat sein Ruf in jüngster Zeit etwas gelitten: Da sich Handys im Laufe der Zeit zu Multifunktionsgeräten mit konstanter Internetverbindung entwickelt haben, ist es für Cyber-Kriminelle leichter geworden, mittels Phishing und Trojaner dort gespeicherte Zugangsdaten zu erhalten. So gab es in den Jahren 2012 bis 2015 mehrere große Betrugswellen, bei denen Hacker bis zu fünfstellige Beträge von den Konten ihrer Opfer abgehoben haben. Angesichts solcher Ereignisse scheint der Rat gerechtfertigt zu sein, für das mTAN-Verfahren ein SMS-fähiges Festnetztelefon anstatt eines Smartphones zu verwenden. Darauf lässt sich nämlich in der Regel keine zusätzliche Software – und somit auch keine Malware – installieren.

Besonders flexibel: Das pushTAN-Verfahren

Zwar kommt beim sogenannten pushTAN-Verfahren nur ein einzelnes mobiles Gerät (beispielsweise ein Smartphone oder ein Tablet) zum Einsatz, dennoch ermöglicht es eine Zwei-Faktor-Authentifizierung: Bei diesem Verfahren nutzt das Mobilgerät nämlich zwei logisch voneinander getrennte Kanäle: Auf dem einen Kanal bewegt sich der Kunde im Internetportal seiner Bank oder in der dazugehörigen Banking-App, auf dem anderen ist eine passwortgeschützte pushTAN-App (kostenlos erhältlich im Apple Store oder bei Google Play) installiert, welche die Überweisungsdaten zur Überprüfung noch einmal anzeigt und auf Anfrage eine gültige TAN generiert. Diese kann man dann im Onlinebanking eingeben oder bei Kompatibilität von Banking- und pushTAN-App auch direkt ins Überweisungsformular übernehmen lassen. Der Vorteil liegt auf der Hand: mit pushTAN brauchen Sie nur noch ein Gerät und können Ihre Bankgeschäfte auch von unterwegs tätigen.

Wenn Sie sich für dieses Verfahren entscheiden, müssen Sie aber gut auf Ihr Smartphone achtgeben. Zwar bemerkt man den Verlust eines Mobilgerätes meist eher als den einer kleinen Papierliste, doch reagiert man nicht schnell genug und verfügt der Finder bereits über die Anmeldedaten fürs Onlinebanking, kann er mit einem erbeuteten Smartphone gültige Transaktionsnummern erstellen und Überweisungen tätigen. Besonders fatal ist das dann, wenn Sie für Ihre Onlinebanking- und pushTAN-App das gleiche Passwort verwendet haben. Um auf Nummer sicher zu gehen, sollten Sie Onlinebanking und TAN-Generierung wie beim mTAN-Verfahren also strikt voneinander trennen – beispielsweise indem Sie Banking-App und pushTAN-App auf zwei separaten Geräten installieren.

Sicherer als das Handy: Das chipTAN-Verfahren

Für das sogenannte chipTAN-Verfahren oder auch smartTAN plus benötigen Sie zusätzliche Hardware: einen sogenannten chipTAN-Generators. Das kleine, kabellose Gerät erhält man entweder als gebrandete Version von seiner Bank oder als dedizierte Ware im Fachhandel – günstige Geräte kosten meist 10 bis 15 Euro, einige Banken lassen ihren Kunden solch ein Gerät auch kostenlos zukommen. Man kann diese Geräte bedenkenlos für mehrere Konten und Personen parallel verwenden. Denn um den chipTAN-Generator zu aktivieren, benötigen Sie eine Chip-Karte (in der Regel die EC-Karte der jeweiligen Bank), die Sie bei Ihrem Geldinstitut beantragen. Zur TAN-Generierung müssen Sie diese Chip-Karte dann in den chipTAN-Generator stecken. Erstellen Sie nun via Onlinebanking eine Überweisung, wird aus den eingegebenen Daten ein grafischer Strichcode generiert. Wenn Sie den chipTAN-Generator mit seinen optischen Sensoren an den Bildschirm halten, scannt er den Code und gibt als Ergebnis eine TAN aus. Funktioniert der Scan aus irgendwelchen Gründen nicht, können Sie die Überweisungsdaten auch per Hand eingeben.

Da der chipTAN-Generator zu keinem Zeitpunkt mit dem Internet verbunden ist, gilt das Verfahren als besonders sicher – schließlich können Cyberkriminelle so kaum Zugriff auf den Generator gewinnen. Allein das macht dies Verfahren trotz der eventuellen Anschaffungskosten für das Gerät und des Mehraufwands bei der Handhabung lohnenswert. Ein potenzielles Risiko stellt jedoch der Verlust der Chip-Karte dar. Gelangt diese nämlich in den Besitz eines Kriminellen, könnte er mit einem beliebigen chipTAN-Generator theoretisch unendlich viele Transaktionsnummern erstellen. Sollten Sie Ihre Chip-Karte also verlieren, denken Sie unbedingt daran, sie frühzeitig bei Ihrer Bank sperren zu lassen, um einen Missbrauch zu verhindern. Das ist ohnehin empfehlenswert, denn mit Ihrer EC-Karte können Kriminelle in vielen Läden auch zahlen, ohne dass sie dafür Ihre Bankdaten kennen müssen.

Die einzelnen Geräte unterscheiden sich vor allem in Design und Funktionalität. So gibt es solche, die einem handelsüblichen Taschenrechner mit mehrzeiligem Display ähneln, und solche in der Größe eines USB-Sticks, aber ohne irgendwelche Anzeigen. Eine möglichst lange Batterielaufzeit und Bluetooth-Fähigkeit (zur Übertragung von Überweisungsdaten und TAN) sind nützlich, doch am wichtigsten ist es, dass der TAN-Generator dem Sicherheitsstandard HHD 1.4 der Deutschen Kreditwirtschaft entspricht.

Das photoTAN-Verfahren: Hacking möglich, aber unwahrscheinlich

Das relativ neue photoTAN-Verfahren ähnelt im Grunde dem zuvor beschriebenen chipTAN-Verfahren – und zwar insofern, dass eine spezielle Hardware, nämlich ein photoTAN-Lesegerät (Preis: 15 bis 30 Euro), zum Einsatz kommt. Alternativ zu diesem Gerät kann man aber auch auf eine kostenlose photoTAN-App zurückgreifen, die die interne Smartphone-Kamera nutzt. Anstatt eines Strichcodes wird beim photoTAN-Verfahren jedoch eine farbige Mosaikgrafik gescannt.

Dieses Verfahren bietet dieselben Vorteile wie pushTAN und chipTAN, aber ebenso dieselben Risiken: allen voran der Verlust der Chip-Karte des Smartphones, auf dem die photoTAN-App installiert ist. Dass solche Apps und damit die TAN-Übermittlung gehackt werden können, bewiesen IT-Sicherheitsforscher der Friedrich-Alexander-Universität in Erlangen-Nürnberg allerdings bereits 2016. Bei ihrem Experiment waren Onlinebanking- als auch photoTAN-App jedoch auf ein und demselben Gerät installiert. Da das Verfahren von noch relativ wenigen Banken angeboten wird, halten Experten eine hohe Betrugsfallquote bei photoTAN-Nutzung allerdings für sehr unwahrscheinlich – auch wenn ein Hacking bei der Verwendung eines Smartphones anstatt eines Lesegeräts technisch prinzipiell möglich ist. Durch die Verwendung eines Lesegeräts kann man dieses Risiko aber minimieren.

Maximale Sicherheit: Das HBCI-/FinTS-Verfahren

Das bereits 1998 entwickelte, standardmäßige HBCI (Home Banking Computer Interface) ist streng genommen gar kein TAN-Verfahren, sondern eher ein Sicherheitsmechanismus für Bankgeschäfte im Internet. Er wurde in erster Linie für Firmen und Nutzer mit mehreren Konten bei verschiedenen Geldinstituten konzipiert. Obgleich das Verfahren nach seiner Weiterentwicklung im Jahr 2002 faktisch in FinTS (Financial Transaction Services) umbenannt wurde, ist es weiterhin unter dem Begriff HBCI bekannt.

Das Verfahren erfordert ähnlich wie chipTAN und photoTAN ein Kartenlesegerät (circa 60 Euro Anschaffungspreis) in Kombination mit einer Chipkarte. Zusätzlich benötigen Nutzer aber auch noch eine PIN und eine spezielle Finanzsoftware. Letztere erhält man im Fachhandel oder direkt von seiner Bank für einen Kaufpreis von 20 bis 100 Euro (je nach Version und Funktionsumfang) oder nutzt sie gegen eine monatliche Gebühr von 5 bis 10 Euro.

Der komplexe Registrierungsprozess des Verfahrens sorgt für einen hohen Sicherheitsgrad von HBCI:

  1. Zuerst starten Sie Ihre Finanzsoftware und loggen sich mit Ihren Zugangsdaten ein. Das Programm erstellt bei der ersten Benutzung automatisch zwei digitale Schlüssel – einen „Signierschlüssel“ für die Chip-Karte und einen „Chiffrierschlüssel“ für den Bank-Server – als elektronische Signatur für alle Transaktionen.

  2. Nachdem Sie Ihre Überweisung erstellt haben, schließen Sie den HBCI-Kartenleser an Ihren Computer an, verifizieren sich per PIN und stecken Ihre HBCI-Chipkarte in das Gerät.

  3. Der Signierschlüssel auf der Chip-Karte legitimiert nun die Überweisung, die mit dem Chiffrierschlüssel codiert und über eine mehrfach gesicherte Leitung an den Bank-Server gesandt wird. Sobald dieser den Chiffrierschlüssel überprüft hat, wird die Überweisung ausgeführt.

Aufgrund der hohen Anschaffungskosten und des komplexen Verfahrens dürfte HBCI für die meisten privaten Nutzer eher unattraktiv sein. Allerdings ist es zweifelsfrei das aktuell sicherste TAN-Verfahren auf dem Markt. Da sich Cyber-Kriminelle zur Effizienzmaximierung eher auf gängige Betriebssysteme und Webbrowser konzentrieren, anstatt Angriffsmethoden für seltenes Homebanking-Programm zu entwickeln, sind bisher noch keine Betrugsfälle bekannt.

TAN-Verfahren in Deutschland: Vor- und Nachteile in der Übersicht

Jedes in Deutschland gängige TAN-Verfahren hat seine Vor- und Nachteile. Um das für Sie passende zu finden, sollten Sie Kosten, Bedienbarkeit und Sicherheitsgrad gründlich gegeneinander abwägen. Gehen Sie aber nicht aus Bequemlichkeit ein unnötiges Risiko ein.

TAN-Verfahren Anforderungen/Aufwand Sicherheitsgrad Größtes Sicherheitsrisiko (in Kombination mit gängigen Phishing-Methoden und/oder Banktrojanern)
iTAN Einmalige Registrierung, Gerät für Onlinebanking (z.B. Laptop), iTAN-Liste (nachbestellbar) gering Verlust der Liste
mTAN Einmalige Registrierung (es können Gebühren anfallen), Gerät für Onlinebanking (z. B. Laptop), SMS-fähiges Festnetztelefon, Mobiltelefon oder Smartphone mittelmäßig Verlust des SMS-fähigen Geräts
pushTAN Einmalige Registrierung, Mobilgerät, Onlinebanking-App, pushTAN-App hoch Verlust des Mobilgeräts, Installation von Onlinebanking- und pushTAN-App auf demselben Gerät, Verwendung desselben Passworts bei beiden Apps
chipTAN Einmalige Registrierung, Gerät für Onlinebanking (z.B. Laptop), chipTAN-Generator (10–15 Euro), Chipkarte des jeweiligen Geldinstituts hoch Verlust der Chip-Karte
photoTAN Einmalige Registrierung, Gerät für Onlinebanking (z.B. Laptop), photoTAN-Lesegerät (15–30 Euro) oder kostenlose photoTAN-App, Chip-Karte des jeweiligen Geldinstituts hoch Verlust der Chip-Karte beziehungsweise Verlust des Mobilgeräts mit der photoTAN-App
HBCI Einmalige Registrierung, Gerät für Onlinebanking (z.B. Laptop), spezielle Finanzsoftware (20–100 Euro oder monatliche Gebühr von 5–10 Euro), Kartenleser (circa 60 Euro), HBCI-Chipkarte, persönliche PIN Sehr hoch Kein bekanntes Sicherheitsrisiko

Welche Sicherheitsaspekte sind beim Umgang mit TAN-Verfahren zu beachten?

TAN-Verfahren gewähren die höchstmögliche, jedoch niemals eine hundertprozentige Sicherheit beim Onlinebanking – auch wenn das manche Anbieter gerne behaupten. Die ernüchternde Wahrheit ist: Mit Ausnahme des HBCI, das streng genommen gar kein TAN-Verfahren ist, wurde jedes TAN-Verfahren zu irgendeinem Zeitpunkt schon einmal erfolgreich gehackt. Obgleich die verfahrenseigenen Sicherheitslücken bei jedem Betrugsfall eine wichtige Rolle gespielt haben, war meist jedoch eine ganz andere Schwachstelle ausschlaggebend: der Kunde. Von der bankinternen Sicherheitsinfrastruktur isoliert, oft wenig in IT-Themen bewandert und zuweilen impulsiv handelnd, ist er für viele Kriminelle das schwächste Glied der Kette.

Dies ist auch der Grund, warum Cyber-Angriffe auf ein Bankkonto immer zuerst auf dessen Besitzer abzielen. Aus diesem Grund liegt es wohl oder übel an den Kunden, sich mit dem Thema Kontosicherheit zu befassen und ein Bewusstsein für den sicheren Umgang mit Onlinebanking und TAN-Verfahren zu entwickeln. In diesem Zusammenhang kann es hilfreich sein, den typischen Ablauf einer Attacke zu kennen und zu verstehen. Nun existiert ein großer Variantenreichtum an möglichen Angriffsszenarien, und täglich lassen sich Kriminelle neue Wege einfallen, um an Geld heranzukommen, das ihnen nicht gehört. Somit können hier nicht alle Tricks der Cyberkriminellen umfassend dargestellt werden, doch wir möchten Ihnen zumindest beispielhaft typische Vorgehensweisen vieler Cyber-Kriminellen erläutern. Die folgenden Ausführungen beziehen sich auf das mTAN-Verfahren:

Um den Faktor Mensch für die Unterwanderung eines IT-Sicherheitssystems nutzen zu können, bedienen sich geübte Angreifer neben einer Auswahl digitaler und technischer Hilfsmittel vor allem einer Methodik: dem Social Engineering. Sie versuchen, ihr Opfer dazu zu bringen, sich in einer sicherheitskritischen Situation falsch zu verhalten. Beispielsweise könnte sich ein Hacker als Angestellter eines externen IT-Supports ausgeben, der gebeten wurde, Probleme der Buchhaltungs- und Onlinebanking-Software zu lösen. In diesem Zusammenhang versucht er dann, von seinem Gesprächspartner Zugangs- oder Bankdaten zu erfragen.

Häufig besteht der erste Schritt einer Cyberattacke auch in der Einschleusung eines Trojaners. Dies geschieht etwa, indem das Opfer in einer vertrauenswürdig wirkenden E-Mail dazu verleitet wird, auf einen infizierten Link zu klicken. Je seriöser die E-Mail und ihre Adresse wirken, desto eher führt diese Art von Phishing zum Erfolg. Betreffzeilen wie „Mahnung“, „Kontosperrung“ oder „Sicherheitsprüfung“ sollen das potenzielle Opfer unter Stress setzen und zu einer unüberlegten Handlung animieren.

  1. Egal, auf welche Weise ein Banktrojaner sich einnistet – ist er erst einmal auf dem Gerät, mit dem man sein Onlinebanking durchführt, kann er die dazugehörigen Zugangsdaten ausspähen. Die erste Hürde hat der Hacker dann genommen.

  2. Nun muss der Angreifer nur noch das TAN-Verfahren überwinden, wofür er eine Reihe verschiedener Optionen hat, von denen an dieser Stelle nur drei vorgestellt werden sollen:
  • Das Mobilgerät zu stehlen, ist wohl die häufigste Methode, sie fällt dem Geschädigten aber auch am schnellsten auf.

  • Eine weitere Strategie besteht darin, die erbeuteten Zugangsdaten zu nutzen, um die Handynummer des Kontoinhabers auf eine zweite SIM-Karte zu portieren, beziehungsweise um eine zusätzliche SIM-Karte anzufordern. Diese konfiguriert der Angreifer im Anschluss so, dass SMS (und damit auch Transaktionsnummern) nur noch an seine eigene SIM-Karte gesendet werden, während alle anderen Funktionen (zum Beispiel Telefonieren) weiterhin für das Opfer verfügbar bleiben. Dass etwas nicht stimmt, fällt dem Opfer dann erst nach einiger Verzögerung auf.

  • Besonders hinterlistig, da nahezu unsichtbar, ist jedoch die sogenannte Man-in-the-Middle- beziehungsweise Man-in-the-Browser-Attacke: Dabei nistet sich der Trojaner im Browser des Opfers ein und manipuliert die visuelle Darstellung einer Onlinebanking-Plattform. So verändert er vorhandene Elemente oder fügt neue hinzu. Das unbedachte Opfer gibt seine Überweisungsinformationen samt dazugehöriger TAN wie gewohnt ein und schickt beides ab. Im Hintergrund hat der Angreifer die Daten aber bereits abgegriffen und lenkt Überweisungen auf sein eigenes Bankkonto. Je nachdem, wie clever er dabei vorgeht, kann es Wochen oder sogar Monate dauern, bis der Schaden entdeckt wird.

Wie ein kriminelles Individuum letztendlich an Ihre TAN herankommt, ist für Sie als Verbraucher nicht wirklich von Belang. Stattdessen sollten Sie sich darauf konzentrieren, sich gegen die ersten Schritte eines Cyber-Angriffs (Social Engineering und das Einschleusen von Banktrojanern) zu wappnen. Dazu müssen Sie beispielsweise auf die typischen Indizien des Phishings achten oder sensible Daten nicht ohne weiteres an Fremde ausgeben, auch wenn diese als verlässlicher Dienstleister (IT-Support, Buchhaltungsdienstleister etc.) auftreten.