Beim Onlinebanking müssen alle Zahlungsvorgänge mit einer Transaktionsnummer (TAN) bestätigt (autorisiert) werden. Hierzu gibt es verschiedene TAN-Verfahren, die die Banken anbieten können.

Indexierte TAN-Listen (iTAN):

Die Bank schickt dem Kunden eine Papierliste mit TANs, die durchnummeriert sind. Zum Abschließen einer Online-Transaktion muss der Kunde dann eine bestimmte TAN eingeben.

TAN-Generator-basierte Verfahren (zum BeispielchipTAN/smartTAN, photoTAN):

Der Kunde erhält ein Gerät, einen sogenannten TAN-Generator. Hinzu kommt in vielen Fällen eine Bankkarte mit einem Chip (zum Beispiel Girocard), die er in das Gerät schieben muss. Beim Onlinebanking werden dem Kunden Daten angezeigt, die er in den TAN-Generator eingeben muss. Alternativ werden diese Daten durch einen sogenannten Flickr-Code oder durch Einscannen eines Barcodes über den PC-Bildschirm eingelesen. Der TAN-Generator errechnet daraus die TAN, die der Kunde beim Onlinebanking eingibt.

Signaturbasierte Verfahren (zum Beispiel BestSign):

Der Kunde erhält ein spezielles Endgerät, zum Beispiel einen USB-Stick, das während des Onlinebankings mit dem Computer verbunden werden muss. Das Endgerät lädt die Transaktionsdaten über eine gesicherte Verbindung und zeigt sie auf einem Display an. Der Kunde bestätigt seine Transaktion über das Gerät, das die Freigabe an die Bank sendet. So entfällt die manuelle Übertragung der TAN.

Mobiltelefon-basierte Verfahren (zum Beispiel mTAN/smsTAN, pushTAN):

Diese Verfahren können so ausgelegt sein wie die TAN-Generator-basierten und die signaturbasierten Verfahren. Allerdings prüft die Bank das Mobiltelefon des Kunden nicht auf Sicherheitslücken, obwohl es grundsätzlich genauso wie ein PC durch Angreifer mit Schadsoftware infiziert werden kann. Alternativ schickt die Bank dem Kunden, nachdem dieser die Transaktionsdaten eingegeben hat, die TAN per SMS oder über eine App auf das Handy. Der Kunde trägt diese dann manuell ein.

Quelle:

http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2015/fa_bj_1508_online_banking.html