Doch nun scheinen die Tage der gedruckten TAN-Listen gezählt. Denn immer wieder gelang es Online-Kriminellen, die sensiblen Nummern abzufischen. Das einfache TAN-Verfahren, bei dem die Kontoinhaber sich eine beliebige Transaktionsnummer aus der Liste aussuchen können, wird ohnehin kaum mehr verwendet. Aber auch das iTAN-Verfahren, bei dem Kunden die TAN auf einer bestimmten Position der indizierten Liste eingeben müssen, wurde immer wieder angegriffen.

So verlor ein Bankkunde im Kreis Biberach in Baden-Würtemberg kürzlich mehrere tausend Euro, weil eine iTAN auf seinem infizierten PC abgefangen und für eine Auslandsüberweisung eingesetzt wurde.

Das Bundeskriminalamt verzeichnete im Jahr 2009 rund 2900 Fälle von „Phishing“, bei denen Transaktionsnummern ausgespäht wurden. In diesem Jahr soll sich die Zahl der Attacken fast verdoppelt haben. Vor diesem Hintergrund erwägen die Verantwortlichen einiger Banken nun, in absehbarer Zeit Abschied von ausgedruckten TAN-Listen zu nehmen. „Das bisherige iTAN-Verfahren mit der Papierliste läuft aus und wird spätestens ab Mitte 2011 nicht mehr eingesetzt“, sagt beispielsweise Postbank-Sprecher Jürgen Ebert. Bei den Volksbanken wurden die iTANs auch schon abgeschafft.

Schon heute bieten viele Banken ihren Kunden an, sich die TANs als SMS auf das Handy schicken zu lassen (mTAN oder mobileTAN). Dazu muss die Mobiltelefonnummer mit dem Konto verknüpft werden. Dieses Verfahren gilt als sichererer als die herkömmliche TAN oder iTAN auf Papier, weil mit der SMS ein zweiter Übertragungskanal die Geldüberweisung absichert.

Allerdings sind für Smartphone-Betriebssysteme wie Symbian von Nokia oder Blackberry von RIM bereits Schadprogramme aufgetaucht, mit denen diese TAN-SMS abgefangen oder auf Handys von Betrügern umgeleitet werden können. Daher empfehlen Experten den Einsatz der mTAN nur auf geschützten Smartphones oder einfachen Handys, die nicht mit dem Internet verbunden sind.

Zahlreiche Volks- und Raiffeisenbanken, viele Sparkassen und die Postbank bieten ein weiteres Verfahren an, um auf sicherem Weg eine Transaktionsnummer zu übermitteln. Beim dem von den Volksbanken eingeführten „sm@rtTAN“-Verfahren, das nun von anderen Banken als „ChipTAN“ bezeichnet wird, nutzt der Kunde zwei voneinander getrennte Geräte - so wie bei der mobileTAN. Die Eingabe der Überweisungsdaten erfolgt am Computer, die Anzeige der Daten an einem TAN-Generator, der auf den ersten Blick aussieht wie ein Taschenrechner.

In dieses kleine Gerät wird die EC-Karte des Kunden gesteckt, um eine gültige TAN erstellen zu können. „Betrüger haben somit keine Chance, gleichzeitig beide Geräte für ihre Zwecke zu manipulieren“, sagt Postbank-Sprecher Ebert. „Das ChipTAN-Verfahren empfiehlt sich zum Beispiel für Kunden, die kein Mobiltelefon besitzen oder mobile Bankgeschäfte erledigen.“

Bei einer Komfort-Variante des Chip-TAN-Geräts, die rund 15 Euro kostet, muss der Anwender die Daten der Überweisung nicht parallel auf dem TAN-Generator eintippen, sondern kann sie sich am Bildschirm des PCs über Lichtsignale übertragen lassen. Fünf Lichtsensoren an der Rückseite des TAN-Generators nehmen dabei die Informationen in der flackernden Grafik auf dem PC-Monitor auf.

Auf dem Display des TAN-Generators werden dann die Empfängerkontonummer und der Überweisungsbetrag angezeigt. Diese müssen vom User bestätigt werden. Der TAN-Generator errechnet dann die richtige TAN für die Überweisung.

Das Chip-TAN-Verfahren gilt unter Experten für einzelne Online-Überweisungen als sehr sicher. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) befürwortet das System - neben dem aufwendigeren HBCI-Verfahren. „Grundsätzlich zu empfehlen sind Hardware-basierte Lösungen wie HBCI-Chipkarte oder TAN-Generator, da hierbei die kryptographischen Schlüssel sicher auf einer speziellen Plattform gespeichert werden“, sagt BSI-Sprecher Tim Griese. Durch die Nutzung zusätzlicher Sicherheits-Hardware werde Online-Banking auch weniger anfällig gegen Angriffe wie das Abfangen von Passwörtern oder Phishing.