2FA / TAN / OTP – was ist das und warum ist das so wichtig?

Diese Begriffe tauchen fast immer auf, wenn es um Phishing (Datenklau-Betrug) geht. Und genau hier passieren die teuersten Fehler, weil viele Menschen denken:

„Das ist doch ein Sicherheitscode – das muss sicher sein.“

Falsch.
Diese Codes sind sicher – aber nur, wenn du sie selbst bewusst auslöst.
Wenn ein Betrüger dich dazu bringt, so einen Code einzugeben oder zu bestätigen, hat er oft direkt Zugang oder kann Zahlungen freigeben.

1) 2FA – Zwei-Faktor-Authentifizierung

2FA (Zwei-Faktor-Authentifizierung) bedeutet:
Du brauchst zum Einloggen zwei Dinge:

  1. Etwas, das du weißt (z. B. Passwort)
  2. Etwas, das du hast (z. B. Handy, Authenticator-App, Sicherheitsschlüssel)

Beispiel:

  • Du loggst dich ein → Passwort
  • Dann kommt ein Code aufs Handy → erst damit ist der Login komplett

Ziel: Selbst wenn jemand dein Passwort kennt, kommt er nicht rein – weil ihm der zweite Faktor fehlt.

2) OTP – One-Time Password (Einmal-Passwort)

OTP (One-Time Password = Einmal-Passwort) ist meist einfach ein anderer Name für den Einmal-Code, den du bekommst.

  • Code ist nur kurz gültig
  • Code gilt nur einmal
  • Code kommt per App, SMS oder Gerät

Viele Systeme nennen das OTP, andere nennen es 2FA-Code.

3) TAN – Transaktionsnummer (Banking-Code)

TAN (Transaktionsnummer) ist ein Code, mit dem du im Online-Banking eine Aktion bestätigst, z. B.:

  • Überweisung freigeben
  • Empfänger hinzufügen
  • Limit ändern
  • Karte/Konto verknüpfen

TAN ist also meist nicht nur Login, sondern oft Zahlung / Änderung.

Wichtig: TAN gibt’s in verschiedenen Formen:

  • SMS-TAN (Code per SMS)
  • App-TAN / Push-TAN (in Banking-App bestätigen)
  • Generator (Gerät erzeugt TAN)

Der wichtigste Satz: Codes sind keine „Sicherheit“, wenn du sie weitergibst

Wenn jemand dein Passwort hat und du ihm zusätzlich den Code gibst, ist das wie:

  • Schlüssel + Alarmcode zusammen abgeben

Oder beim Banking:

  • Unterschrift unter eine Überweisung leisten, die du gar nicht willst

Typische Betrugsmasche: „Sag mir den Code“

Betrüger schreiben oder sagen Dinge wie:

  • „Wir schicken dir einen Code zur Verifizierung.“
  • „Bestätige kurz die Zahlung, dann wird sie abgebrochen.“
  • „Du musst nur kurz dein Konto entsperren.“

Das Ziel ist fast immer:
Du gibst einen 2FA-Code / TAN / OTP ein → damit loggen sie sich ein oder lösen eine Aktion aus.

Woran erkennst du: Code-Eingabe ist gefährlich?

GELB (Vorsicht)

  • Du bekommst unerwartet einen Code, obwohl du gar nichts gemacht hast
  • Jemand fordert dich auf, den Code vorzulesen oder weiterzuleiten
  • Du sollst in einem Link-Login einen Code eingeben

ROT (Stopp)

  • Du hast keinen Login gestartet – aber Code kommt trotzdem
  • Jemand macht Druck („sofort“, „sonst Sperre“)
  • Jemand will, dass du eine Push-Nachricht „freigibst“
  • Jemand sagt: „Damit wird der Angriff gestoppt“
    → In Wahrheit gibst du ihn frei

Push-TAN / App-Bestätigung: Das ist oft noch gefährlicher

Bei vielen Banken gibt’s keine Zahlencodes mehr, sondern du klickst:

  • „Bestätigen“
  • „Freigeben“
  • „Ja, das bin ich“

Betrüger lieben das, weil viele Menschen reflexartig auf „OK“ drücken.

Merksatz:
Wenn du nicht sicher weißt, was du gerade bestätigst: nicht bestätigen.

Was du in 10 Sekunden tun kannst, wenn ein Code kommt und du hast nichts gemacht

  1. Nichts eingeben / nichts bestätigen
  2. Passwort ändern (auf der echten Seite/App, nicht über Link)
  3. 2FA prüfen: Ist eine neue Methode hinzugefügt worden?
  4. Wenn es Bank/PayPal ist: App selbst öffnen und nachsehen
  5. Wenn du unsicher bist: Support über echte Nummer kontaktieren (nicht aus der Nachricht)

Häufige Fragen (kurz und ehrlich)

„Kann ein Betrüger meinen Code ohne mein Handy bekommen?“

Meist nicht direkt – aber er kann dich dazu bringen, ihn selbst zu liefern (Social Engineering = Trickbetrug über Psychologie).

„Ist SMS-TAN unsicher?“

SMS ist besser als nichts, aber anfälliger als App/Hardware, z. B. durch SIM-Swapping (SIM-Karten-Tausch). Für normale Nutzer gilt:
Wichtiger als Technik ist Verhalten: Codes nie weitergeben.

„Was ist besser: Authenticator-App oder SMS?“

Authenticator-App (z. B. Google Authenticator, Microsoft Authenticator, Authy) ist in der Regel besser als SMS, weil keine SMS abgefangen werden muss.
Aber auch hier gilt: Wenn du den Code weitergibst, ist es egal.

Der goldene Merksatz (bitte wirklich merken)

Codes sind nur für dich.
Kein Support, keine Bank, kein Paketdienst braucht deinen Code.
Wenn jemand ihn will: Ablage-P.

Nach oben scrollen