Online Banking wird immer beliebter und die Sicherheitsstandards der Banken immer vielfältiger. Eine der neuesten Verfahren ist das photoTAN Verfahren. Doch was ist das photoTAN Verfahren überhaupt und wie funktioniert es? Welche Vorteile und Nachteile bringt es mit sich, und ist es überhaupt ein sicheres Verfahren? Die Antworten auf diese Fragen finden Sie in diesem Artikel.
Vorteile des photoTAN Verfahrens
- kostenlos, erfolgt nicht über SMS, sondern über gratis App (Lesegerät jedoch circa 30€)
- man braucht keine TANs in Papierform mehr
- bequem, schnell und einfach zu bedienen
- sicher: beide Endgeräte kennen nur einen Teil der Informationen
Nachteile des photoTAN Verfahrens
- Was tun bei Handyverlust?
- Sicherheit nur garantiert, wenn Überweisung und TAN-Generierung auf zwei verschiedenen Geräten abläuft (PC und Smartphone)
- photoTAN Verfahren wurde 2016 von IT Sicherheitsforschern gehackt
Was ist das photoTAN Verfahren?
Beim photoTAN Verfahren funktioniert die Validierung Ihrer Online Überweisung über eine Zwei-Geräte-Authentifizierung, nämlich über Ihren Computer und Ihr Smartphone. Bei einer Online Überweisung auf Ihrem PC erscheint beim Transaktionsprozess ein farbiger Barcode, welchen Sie mit Ihrem Smartphone abfotografieren. Die Transaktionsdaten erscheinen auf ihrem Handy und eine Ziffernfolge (TAN) wird generiert. Diese Ziffernfolge geben Sie anschließend in den PC ein, um die Überweisung abzuschließen. Da die Transaktion über zwei Endgeräte läuft, welche beide nur einen Teil der Informationen kennen und nicht miteinander vernetzt sind, versprechen die Banken eine hohe Sicherheit des photoTAN Verfahrens.
Wie funktioniert das photoTAN Verfahren?
Die verschiedenen Banken bieten mittlerweise die unterschiedlichsten TAN Verfahren an, sei es TAN-Listen & i-TAN, Chip TAN, mTAN/TAN per SMS, AppTAN/PushTAN oder HBCI/FinST. Doch wie funktionert das beim photoTAN Verfahren? Dies sind die einzelnen Schritte, die Sie tätigen müssen, um eine Überweisung mit dem photoTAN Verfahren durchzuführen:
- Um das Verfahren zu nutzen, benötigen Sie ein Online Banking Konto bei einer Bank, welche das photoTAN Verfahren anbietet. In Deutschland sind das aktuell folgende Banken: die Commerzbank, die Deutsche Bank, Comdirekt, 1822direkt und die Norisbank.
- Außerdem brauchen Sie ein Lesegerät. Entweder Sie laden sich die photoTAN App der jeweiligen Bank auf Ihr Smartphone, oder Sie bestellen sich einmalig ein Lesegerät für circa 30€.
- Tätigen Sie nun wie gewohnt Ihre Online Überweisung im Webbrowser an Ihrem PC. Hier können Sie nun auswählen, dass Sie zur Generierung der TAN das photoTAN Verfahren nutzen möchten.
- Am Computer wird jetzt ein farbiger Barcode angezeigt, welcher einem QR-Code ähnelt.
- Scannen Sie nun den Code mit Hilfe der photoTAN App auf Ihrem Smartphone oder mit Ihrem Lesegerät ein.
- Auf Ihrem Smartphone oder Lesegerät erscheinen nun die Transaktionsdaten, die Sie unbedingt auf Ihre Richtigkeit überprüfen sollten, und eine TAN (7-stellige Ziffernfolge) wird generiert. Jede TAN nur für einen speziellen Auftrag generiert und ist auch nur für diesen gültig.
- Diese TAN geben Sie nun in die Online Überweisung an Ihren PC ein, um die Überweisung zu legitimieren und abzuschließen.
Ist das photoTAN Verfahren sicher?
Alle teilnehmenden Banken behaupten, dass das photoTAN Verfahren sicher sei. Nichtsdestotrotz wurde das photoTAN Verfahren 2016 von IT Sicherheitsforschern von der Friedrich-Alexander-Universität Erlangen-Nürnberg gehackt. Ihnen ist gelungen, auf die Überweisungen zuzugreifen und Geld auf ein fremdes Konto zu überweisen, ohne dass der Kunde etwas davon merkte. Allerdings waren hierbei die Online Banking App und die photoTAN App auf einem Gerät installiert. Außerdem setzte der Hacker-Angriff voraus, dass auf dem Smartphone der Opfer bereits eine App mit Virus vorinstalliert sein muss. Das macht den Angriff schwierig, aber nicht unmöglich.
Sollten Sie deswegen auf die photoTAN Verfahren verzichten? Wir zeigen Ihnen Tipps, wie Sie das Verfahren sicher durchführen können.
- Es handelt sich beim photoTAN Verfahren um eine Zwei-Geräte-Authentifizierung, und das sollte auch eingehalten werden. Die Online Banking App sollte nicht gemeinsam mit der photoTAN App auf einem Smartphone installiert sein. Online Überweisungen sollten mit dem PC durchgeführt werden, und das Scannen des Codes und Generieren der TAN mit der photoTAN App auf Ihrem Smartphone oder dem Lesegerät
- Wenn Sie dennoch die Online Banking App auf Ihrem Smartphone installiert haben wollen, so sollten Sie auf keinen Fall ebenfalls die photoTAN App auf Ihr Handy installieren. Besorgen Sie sich stattdessen ein Lesegerät. Dieses kann man bei den Banken, die das photoTAN Verfahren anbieten, für circa 30 € bestellen.
- Sobald Sie den bei der Online Überweisung erzeugten Code mit Ihrem Smartphone oder Lesegerät gescannt haben, erhalten Sie die Transaktionsdaten. Diese enthalten Betrag und Name des Empfängers. Diese Daten sollten Sie stets genauestens auf ihre Richtigkeit überprüfen, damit das Geld auch richtig ankommt. Mögliche Hackerangriffe merken Sie auch, wenn hier falsche Daten angezeigt werden.
- Falls doch mal etwas sein sollte: die Commerzbank erstattet im Schadensfall (wie bei einem Hackerangriff) die vollständige Summe.
Fazit
Das photoTAN Verfahren stellt eine einfache, schnelle und bequeme Art des Verifizierens von Online Überweisungen dar. Angeboten wird es aktuell von der Commerzbank, der Deutschen Bank, Comdirekt, 1822direkt und der Norisbank. Dabei handelt es sich um eine Zwei-Geräte-Authentifizierung. Die Online Überweisung erfolgt am PC. Zum Legitimieren der Überweisung wird ein Code am PC erzeugt, der von einem zweiten Gerät, einem Lesegerät oder Ihrem Smartphone, eingescannt wird und so eine TAN generiert wird. Diese wird wiederrum im PC eingegeben und so die Überweisung abgeschlossen. Solange das Verifizieren der Online Überweisung über zwei Geräte (PC und Smartphone) erfolgt, ist die Sicherheit des photoTAN Verfahrens hoch, da beide Endgeräte jeweils nur einen Teil der Information kennen und nicht vernetzt sind.
Möchten Sie sich über andere TAN Verfahren von diversen Banken informieren, so finden Sie alle Infos in unserem Vergleich Sicherheitsverfahren Banken.
Bildquelle Titelbild: Vielen Dank an die Commerzbank AG.
Wir betrachten alle Themen gemeinsam und tauschen uns dazu aus. Denn nur viele Augen sehen alles! Das bedeutet mutual und macht Artikel damit neutraler, objektiver und transparenter. Mein Name ist Max Hillebrand, Chefredakteur von mutual.de
18 Antworten
Kommentar-Navigation
Ich bin ganz schön sauer. Ich nutze seit Jahren Online Banking mit dem Smartphone und ich wurde nie darauf hingewiesen, dass die Installation der PhotoTan App und der Online Banking App auf einem Smartphone ein Sicherheitsrisiko darstellt. Wenn ich nicht rein zufällig mal nach dem Unterschied zwischen PhotoTan-Lesegerät und PhotoTan App gesucht hätte, hätte ich davon vermutlich auch die nächste Zeit nichts von mitbekommen. Da kann ich aktuell also nur Gott danken, das ich ein sehr vorsichtiger Internetnutzer bin und nicht jeden Sch… auf dem Smartphone installiere.
Home-Banking erledige ich mit PC und einem uralten Handy mit Prepaid für mTAN. Das ist die kostengünstigste Lösung für mich. Smartphones hasse ich grundsätzlich, und die sauteuren Tarife kann ich nicht ausnutzen.
Die ING-DiBa AG stellt am 31. März 2021 die mTAN ein und zwingt ihre Kunden auf ein photoTAN-Verfahren. Auf Anfrage konnte mir ING-DiBa AG nicht klar sagen, ob ich ein bereits vorhandenes Lesegerät einer anderen Bank (comdirekt) nutzen könne.
Ein zusätzliches Lesegerät für die ING-DiBa AG werde ich nicht anschaffen, das kostet 32,- €. und ich habe noch ein Trum rumliegen und rumfliegen. Voraussichtlich werde ich das Konto kündigen und das Depot zur comdirekt umziehen,
Mit besten Grüßen
Dirk Meyer
Ich fürchte, das wird nicht helfen – auch comdirekt wird das mTAN einstellen müssen. Das Ganze geht auf die „Zahlungsdiensterichtlinie PSD2“ der EU zurück, welche alle Banken im EU-Raum betrifft. Ich bin auch bei der ING und habe letztlich zähneknirschend deren photoTAN-Generator gekauft. Die Banking-App kommt für mich schon deshalb nicht in Frage, da sie beim Aufruf eine Verbindung zu Microsoft in den USA aufbaut (ist mit einfachem Netzwerk-Analysator z.B. „wireshark“ zu sehen).
Viele Grüße,
Ralf G.
Kommentar-Navigation