Freigabe von Überweisungen über pushTAN: Erfahrungen und Empfehlungen zur Nutzerführung bei der Ersteinrichtung

Dame sitzt an einem Tisch an Ihrem Laptop und tippt auf Ihr Smartphone.

Seit einiger Zeit wird die altbekannte TAN-Liste, die wohl die meisten von uns noch kennen, von einer Vielfalt an anderen Verfahren zur Freigabe von Aufträgen abgelöst. Wir von eresult arbeiten mit vielen Banken zusammen und haben daher auch schon die ein oder andere Anwendung zur Freigabe von Aufträgen getestet. Die Einrichtung eines solchen Services ist eines der Knackpunkte – das Onboarding sollte dem Kunden so einfach wie möglich gemacht werden, gleichzeitig muss er aber auch alle Funktionalitäten kennenlernen und verstehen. Anhand meiner eigenen Erfahrung mit der App der VR-Banken (VR-SecureGo) lasse ich Sie mit ein paar Einblicken teilhaben.

Überblick über verschiedene Freigabeverfahren

Bevor man sich für ein neues Verfahren entscheiden kann, muss natürlich erst einmal recherchiert werden, was der Markt so bietet – und das ist mittlerweile eine ganze Menge. In unseren Tests für Banken haben wir festgestellt, dass alle hier aufgeführten Verfahren genutzt werden, aber nicht jeder Proband kannte alle Verfahren. Vor allem das neueste, das pushTAN-Verfahren ist nicht jedem bekannt. Daher hier zunächst ein Überblick:

Der Nachfolger der regulären TAN-Liste, bei der man die TANs der Reihe nach von oben nach unten bei jeder Überweisung eingegeben hat, ist die iTAN-Liste. Hier bekommt man ebenso eine TAN-Liste von der Bank, nur, dass die einzelnen TANs nummeriert sind. Nachdem man also alle Daten in das Überweisungsformular eingegeben hat, wird man gebeten, eine bestimmte TAN aus der Liste einzutragen (z. B. TAN Nr. 58 = 123456).

Die mTAN (oder SMS-TAN) funktioniert über das Mobiltelefon. Nachdem hier die Überweisungsdaten eingegeben wurden, erhält man wenige Sekunden danach eine SMS auf die hinterlegte Mobilnummer. Die TAN ist zeitlich begrenzt gültig und gilt auch nur für die eingegebenen Überweisungsdaten. Dieses Verfahren funktioniert nicht, wenn man auf dem gleichen Mobiltelefon auch die Banking App installiert hat. Das mTAN-Verfahren setzt eine Trennung der beiden Geräte voraus. Banking am PC oder Tablet ist damit also kein Problem – man benötigt jedoch immer zwei Geräte.

Das Chip-TAN-Verfahren kennen wohl auch einige. Hier erhält man von der Bank einen TAN-Generator, der aussieht wie ein kleiner Taschenrechner. Auch hier sind also zwei Geräte notwendig: Das Endgerät, auf dem man die Überweisungen eingibt und der TAN-Generator. Dieser funktioniert nur, wenn man die zum Konto gehörige EC-Karte nach der Eingabe der Überweisungsdaten in den TAN-Generator schiebt. Auf dem PC öffnet sich ein Fenster mit einer Grafik, häufig einem Flicker-Code. Der TAN-Generator wird mit den Sensoren auf diese Grafik gehalten – die Daten der Überweisung werden automatisch eingelesen (manuelles Eintippen ist aber auch möglich). Danach gibt der Generator eine TAN aus, die nur für diese Überweisung mit diesen Parametern gültig ist.

Zu guter Letzt gibt es noch das pushTAN-Verfahren (je nach Bank wird hier ein anderer Name vergeben). Hier muss eine eigene App heruntergeladen und aktiviert werden. Hierzu bekommt man von der Bank die entsprechenden Daten (meistens eine Legitimations-ID oder/und einen QR-Code). Die TAN-App läuft auf dem gleichen Smartphone, auf dem auch die Banking App läuft – eine Trennung der Geräte ist hier nicht notwendig, da die beiden Apps unabhängig voneinander betrieben werden. Gibt man nun (entweder am PC oder am Smartphone) die Überweisungsdaten ein, erhält man über die TAN-App eine TAN zur Freischaltung. Diese kann auf dem Smartphone direkt an die Banking App gesendet werden, aber auch manuell abgetippt werden.

Sicherheit als wichtiges Kriterium im Onlinebanking

Die Stiftung Warentest hat im Mai 2015 verschiedene Banking Apps fürs Smartphone getestet und dabei im Vorfeld die Einschätzung der Sicherheit der einzelnen Verfahren im Generellen aufgezeigt. Ein Verfahren wird als sicher eingestuft, wenn

  • die Transaktionsnummer (TAN) aus den Überweisungsdaten erzeugt wird,
  • zeitlich begrenzt ist
  • und für ihre Erzeugung ein zusätzliches Gerät genutzt wird.

Die beiden ersten Bedingungen erfüllen mit Ausnahme des iTAN-Verfahrens alle Verfahren. Unterschiede gibt es hinsichtlich der dritten Anforderung.

So schneiden die vorgestellten Verfahren im Allgemeinen ab:

  • iTAN: Niedrige Sicherheit, weil die iTAN nicht aus den Überweisungs­daten selbst erzeugt wird.
  • mTAN: Hohe Sicherheit, weil die TAN nur an die registrierte Mobilfunknummer geschickt wird.
  • Chip-TAN: Sehr hohe Sicherheit, weil die TAN auf dem TAN-Generator erzeugt wird und nur mit der EC-Karte funktioniert.
  • pushTAN: Hohe Sicherheit, weil die Banking-App sowie die Push-TAN-App voneinander unabhängig betrieben werden.

Wer mehr zur Sicherheit der einzelnen Verfahren lesen möchte, sei zum einen der Stiftung Warentest-Artikel (für 1 Euro zu erwerben) empfohlen. Weiterhin hat die T-Online-Redaktion bereits 2011 einen Artikel zur Sicherheit und Hackerangriffen bei verschiedenen TAN-Verfahren geschrieben.
Das Fazit: Alles ist besser als die TAN-Liste und die iTAN-Liste, aber ein 100% sicheres Verfahren gibt es nicht.

Der Umstieg auf pushTAN: Ein Selbstversuch

Nach der Recherche und Einstufung der Sicherheit folgt nun der Umstieg. Ich finde, ein sehr wichtiger Schritt, der bezüglich der Usability nicht zu vernachlässigen ist. Stelle ich doch hier mein Freigabeverfahren für (fast) alle Vorgänge im Onlinebanking um. Mir muss also bewusst werden, welche Konsequenz mein Handeln hat und was ich damit auslöse (z. B. wird das mTAN-Verfahren dadurch deaktiviert).

Ich möchte vom Chip-TAN-Verfahren auf pushTAN umsteigen, da ich meinen TAN-Generator ständig zuhause vergesse. Mein Laptop ist auch nicht ständig an und auf dem Smartphone finde ich es viel angenehmer, nicht noch ein weiteres Gerät zu benötigen. Daher also der Umstieg. Wie bei allen Freigabeverfahren muss man dies erst einmal bei der Bank beantragen. Bei den VR-Banken muss man sich zunächst die App herunterladen und sich dort mit den Internetbanking-Zugangsdaten anmelden. Danach muss man ein Passwort für die pushTAN-App vergeben, um den Zugang dazu zu schützen. TouchID (Login über Fingerabdruck) ist hier nicht möglich, da man die Banking-App damit entsperren kann. Nach der Anmeldung muss man die App registrieren – zu diesem Zeitpunkt ist dies der einzige Button in der App, den man anklicken kann – man kann also nichts falsch machen.

Nach dem Klick auf „App registrieren“ erhalte ich einen Hinweis, wie es nun weitergeht. In der Meldung steht, die App ist erfolgreich registriert und ich solle diese nun im eBanking freischalten. Meine Frage war nun: „Was ist das eBanking?“ Das Onlinebanking im Browser, die Banking-App – oder noch etwas komplett Anderes? Hier wurde plötzlich ein Begriff eingeführt, der mir in meiner bisherigen Onlinebanking- und Mobilebanking-Erfahrung noch nicht untergekommen ist. In der Hoffnung, dass ich hier schon alles am Smartphone erledigen könnte, loggte ich mich in meine Banking App ein. Nach 15 Minuten Suchen im Menü und in den Einstellungen gab ich auf und besuchte die Informationsseite zur pushTAN der VR-Banken. Hier gab es ein sehr schönes und leicht nachzuvollziehendes Video. Demnach muss ich mich im Onlinebanking auf der Website einloggen. Also fuhr ich meinen Laptop hoch, da die mobile Website meiner Bank noch nicht mobil optimiert ist.

Was zudem auch nicht sehr hilfreich war, dass dieser Hinweis verschwand, wenn man „ok“ anwählte. Ich hatte keine Möglichkeit, den Hinweis wieder aufzurufen. Hätte ich also die Registrierung wegen irgendeinem Ereignis unterbrechen müssen und erst nach ein paar Stunden oder am nächsten Tag fortfahren können, hätte ich in der pushTAN-App keinerlei Anleitung (= Nutzerführung) zum weiteren Vorgehen gefunden. Hier fühlte ich mich als Kunde alleine gelassen. Aber ich kannte ja nun das Video.

Ich war nun im Onlinebanking am Laptop und auf der Suche nach meinen Freigabeverfahren. Diese waren relativ schnell gefunden. Und tatsächlich, hier konnte man den Service bestellen. Hier war ein letztes Mal die Eingabe einer TAN über meinen TAN-Generator notwendig, um die Bestellung zu bestätigen.

SecureGo TAN-Service
SecureGo TAN-Bedningungen
SecureGo Freischalt-Code

Nun hieß es warten. Denn ich benötige den Freischalt-Code, um die pushTAN-App endgültig freizuschalten. Nach ein paar Tagen erhielt ich dann auch einen Brief mit der Post. Und mit in dem Brief war zudem eine Erklärung, was ich tun sollte. Hier fühlte ich mich wieder gut aufgehoben. Also startete ich die pushTAN-App.

Hier hatte sich in der Zwischenzeit etwas getan: Der Button unten hatte sich von „Registrieren“ auf „Freischaltcode erfassen“ geändert. Dies ist automatisch über die Kamera oder manuell über Tastatureingabe möglich. Danach war die Registrierung abgeschlossen und es konnte losgehen.

Fazit: Gute, kanalübergreifende Nutzerführung ist das A & O

Insgesamt war ich mit dem Prozess des Einrichtens zufrieden. Erhielt ich doch zunächst immer ausreichendes Feedback, was zu tun ist. Dennoch gab es einige Punkte, die einer Optimierung bedürfen. Hier nun zusammengefasst ein kleiner Ausschnitt meiner Usability Highlights:

  • Das Erklärvideo der VR-Banken ist super: Jeder einzelne Klick und Schritt wird gezeigt – nichts bleibt im Unklaren. Dieses Video ist eine gute Hilfe. Über die Einrichtung hinaus zeigt das Video auch die Funktionsweise von Überweisungen am Smartphone und Desktop. Diese kanalübergreifende Funktionalität hat sich in unseren Tests bisher immer als schwierig herausgestellt.
  • Die Bedienung des Players ist dagegen schwierig. Der Fortschritt des Videos lässt sich nicht via Drag & Drop verschieben, man muss auf die Zeitleiste klicken. Hier hätte ich mir eine schönere Bedienung erhofft, da man doch ab und an mal einen Schritt zurückspringen muss.
  • Leider ist das Video an sich auch versteckt. Wenn man nicht aktiv danach sucht, findet man es nicht. Klickt man im Onlinebanking auf „Jetzt informieren“ beim pushTAN-Verfahren, kommt man aktuell nur zum Kontaktformular und nicht zur Service-Seite mit dem Erklärvideo.
  • Der größte Schwachpunkt für mich war der Schritt vom Registrieren der App innerhalb der pushTAN-App hinüber zum Onlinebanking. Hier hätte ich mir im Dialogfeld der App mehr Nutzerführung gewünscht. Diese muss nicht zwangsweise direkt angezeigt werden. Häufig werden solche Informationen hinter Info-Icons platziert. So wird eine Informationsüberflutung auf der ersten Seite vermieden.
  • Um das pushTAN-Verfahren im Onlinebanking letztendlich aktivieren zu können, muss man den Freischalt-Code per Post bestellen. Hierzu müssen die Sonderbedingungen akzeptiert werden. Was hier jedoch nicht erwähnt wird ist, dass die Sonderbedingungen hierzu auch heruntergeladen werden müssen. Tut man dies nicht, gibt es eine Fehlermeldung, dies bitte zu tun. Mir als Nutzer hätte es Frust und einen Klick erspart, wäre dies direkt angegeben gewesen.
  • Die Anleitung zur endgültigen Aktivierung des pushTAN-Verfahrens im Freischaltbrief war sehr hilfreich. Ab hier ging es sehr zügig.
  • Während der Aktivierung der pushTAN-App gab es immer einen prominenten Button innerhalb der App, der gedrückt werden konnte. Hier kann der Nutzer (fast) nichts falsch machen – mit einer etwas besseren Hilfestellung zu den nächsten notwendigen Schritten wäre die Nutzerführung hier sehr gut.

Insgesamt bin ich mit dem Mobilebanking der VR-Banken sehr zufrieden – bisher hatte ich keinerlei Probleme. Mittlerweile kann ich auch meine Rechnung einfach abfotografieren und die Überweisungsdaten werden automatisch erstellt. Dies ist mein liebstes Feature. Erspart es mir doch das lästige Eintippen der IBAN.

Noch eine Anekdote einer anderen Bank und deren Freigabeverfahren:
Auch bei meiner zweiten Bank habe ich das Verfahren von der ehemaligen iTAN-Liste auf push-TAN umgestellt. Hier lief die Einrichtung ähnlich ab. Dennoch habe ich hier immer wieder Probleme, das pushTAN-Verfahren zu nutzen. Das Problem hierbei ist nämlich, dass ich, je nachdem, welches Freigabeverfahren ich nutzen möchte, ich mich mit einer anderen Zugangsnummer anmelden muss. Ich habe also zwei Zugangsnummern:

  • Freigabe über iTAN-Liste
  • Freigabe über pushTAN-Verfahren

Die Nummern unterscheiden sich geringfügig: Für pushTAN muss ich nur 2 Zeichen mehr anhängen. Nun ist es mir schon sehr oft passiert, dass ich mich wie gewohnt einlogge und über pushTAN meinen Auftrag freigeben wollte. Allerdings wurde ich dann immer nach einer iTAN-Nummer gefragt. Die Anmeldung mit meinen Zugangsdaten ist bei mir so automatisiert, dass ich beim Anmelden im Onlinebanking noch nicht an mein Freigabeverfahren denke. Aufgabenangemessenheit, Selbstbeschreibungsfähigkeit, Erwartungskonformität, Fehlertoleranz und Lernförderlichkeit sehe ich (für mich) hier gleichzeitig verletzt.

Welche Erfahrungen haben Sie mit dem Einrichten und Verwenden von Online- & Mobilebanking-Features bereits gesammelt? Wir freuen uns auf Good- und Bad-Practice-Beispiele in den Kommentaren.

Portraitfoto: Melanie Wieland

Melanie Wieland

Digital Researcher

cosnova GmbH

Bisher veröffentlichte Beiträge: 8

5 Kommentare

  • Beatrix

    Ich benutze schon seit ewigen Zeiten das Chip-TAN-Verfahren und mache Online-Banking nur am PC.
    Damit bin ich sehr zufrieden, auch gerade wegen der Sicherheit.
    Bei der Nutzung von 2 Apps an einem Smartphone habe ich trotz der erwähnten „Unabhängigkeit“ Sicherheitsbedenken….

    • Hallo Beatrix, mit dem Chip-TAN-Verfahren war ich an sich auch nicht unglücklich. Dadurch, dass ich in letzter Zeit viel reise, hat sich die Umstellung bei mir einfach angeboten. So bin ich flexibler unterwegs. Bezüglich der Sicherheit bin ich mir auch noch nicht 100% sicher – dies muss und wird die Zukunft zeigen.

  • Sebastian Feige

    Der Vollständigkeit halber zu den TAN-Verfahren:

    Es gibt noch die u.a. von Commerzbank, Deutsche Bank und comdirekt eingesetzte photoTAN-Verfahren, bei dem mit dem Smartphone eine Grafik abfotografiert wird. Dies macht das Verfahren aber denkbar ungeeignet, wenn man mit nur einem Gerät zu einem Zeitpunkt Transaktionen freigeben möchte (Mobile Banking).
    Daher wird — irritierenderweise — unter dem Namen „photoTAN“ auch die Möglichkeit geboten, die empfangene photoTAN, mittels App an die jeweilige Banking-App der Bank zu übertragen — ganz ohne Fotografieren. Im Prinzip dann auch ein pushTAN-Verfahren.

    Außerdem gibt es für chipTAN noch die Variante „BluetoothTAN“ — bei dieser hat man zwar weiterhin ein Gerät mit Karte — die Übertragung erfolgt aber nicht über den aufwändigen Flicker-Code sondern ohne Sichtkontakt direkt über die Funkschnittstelle Bluetooth.

    • Hallo Sebastian, besten Dank für die Ergänzung – mittlerweile gibt es wirklich einen großen Strauß an Verfahren. Über die Varianten der photoTAN als auch über bluethooth habe ich gelesen, leider noch nie ausprobieren können.

  • FPM

    Raiffeisen: am ersten Tag schon Probleme bei der Anmeldung, angeblich zu wenig Akkuverbrauch, sitze schon wieder 10 Minuten, gestern hat die Umstellung Stunden gedauert das ich mein google playstore gelöscht war…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert