Eps-Casino-TAN-Verfahren: mobileTAN, cardTAN und appTAN im praktischen Vergleich

Warum drei Verfahren noch immer parallel existieren
Ein älterer Herr in einem Linzer Kaffeehaus fragte mich neulich, ob seine TAN-Liste auf Papier — er hatte tatsächlich noch eine — heute noch für eps-Casinoeinzahlungen funktioniere. Die Antwort ist seit Jahren: nein, iTAN-Listen sind seit der zweiten Zahlungsdiensterichtlinie EU-weit Geschichte. Aber die Verwirrung über die Verfahren, die heute zugelassen sind, ist quer durch alle Altersgruppen ähnlich groß.

Aktuell laufen bei den österreichischen Banken drei TAN-Verfahren parallel, die im eps-Casino-Workflow relevant sind: mobileTAN (SMS), cardTAN über einen Hardware-Generator und appTAN über Push-Benachrichtigung in der Banking-App. Wer wissen will, warum es überhaupt drei sind (und welches in welcher Situation Sinn ergibt), muss kurz auf die Architektur schauen. Die rund zwei Millionen Online-Banking-Kundinnen und -Kunden in Österreich, die über ihre Hausbank eps nutzen können, kommen aus sieben Bankengruppen (Raiffeisen, Bank Austria, BAWAG, Erste, Sparkassen, Hypo, Volksbank), die 2001 zusammen mit STUZZA das eps-Verfahren gestartet haben — und die seither jeweils eigene Sicherheitsmechaniken pflegen. Genau diese föderale Struktur ist der Grund, warum keine einheitliche TAN-Lösung existiert.
mobileTAN im eps-Ablauf
Eine Kundin der BAWAG erzählte mir, sie nutze noch immer SMS-TAN, weil sie keine separate App auf ihrem Diensthandy installieren dürfe. Genau das ist 2026 der Hauptgrund, warum mobileTAN überhaupt noch lebt: Sie ist die einzige TAN-Variante, die ohne Installation einer Banking-App auf dem aktuellen Gerät funktioniert.
Der Ablauf ist einfach: Nach der eps-Auswahl im Casino und der Weiterleitung zur Banking-Anmeldung wird die Überweisung mit vorausgefülltem Empfänger und Betrag angezeigt. Wer mobileTAN verwendet, klickt auf „TAN anfordern“ — es kommt eine SMS an die hinterlegte Mobilfunknummer mit dem Betrag, einem Teil des Empfängers und einem sechs- bis achtstelligen Code. Den tippe ich in das Webformular ein, bestätige, und die Zahlung läuft. Im Casino erscheint dann der eps-Status „erfolgreich“.

Die praktischen Schwächen sehe ich im Alltag häufig. Erstens: Roaming. Wer im Ausland einzahlt, bekommt die SMS unter Umständen erst mit fünf Minuten Verzögerung — oder gar nicht, wenn das Roaming gerade kostenpflichtig deaktiviert wurde. Zweitens: die Gültigkeitsdauer. Die meisten Banken setzen mobileTANs nach drei bis fünf Minuten zurück; wer länger braucht oder einen Anruf erhält, muss neu anfordern. Drittens: SIM-Swapping. mobileTAN ist das einzige der drei Verfahren, das durch einen erfolgreichen SIM-Tausch in der Mobilfunkkette kompromittierbar ist, weshalb Banken inzwischen aktiv auf appTAN oder cardTAN drängen. Mehr zum übergeordneten Sicherheitsmodell der eps-Architektur habe ich im Sicherheits-Pillar beschrieben.
cardTAN und der externe TAN-Generator
Ein Notar aus Innsbruck zeigte mir letzten Sommer stolz seinen cardTAN-Generator — ein flaches schwarzes Gerät mit Display und Kartenschlitz, das er als „mein offline-Tresor“ bezeichnete. Er hatte recht: cardTAN ist das einzige Verfahren, das prinzipiell ohne Smartphone und ohne Mobilfunkverbindung funktioniert.
Im eps-Ablauf läuft cardTAN so: Auf der Banking-Seite, wo die vorausgefüllte Überweisung steht, erscheint anstelle eines TAN-Eingabefelds ein animiertes Flickergrafik-Symbol oder eine QR-ähnliche Darstellung. Ich stecke meine Bankomatkarte in den TAN-Generator, halte ihn ans Display, das Gerät liest die Daten optisch ein, zeigt mir den Empfänger und den Betrag zur Kontrolle und generiert einen TAN, sobald ich auf dem Generator selbst bestätige. Dieser TAN ist an die konkrete Transaktion gebunden — er funktioniert für keine andere Überweisung.

Die Stärken sehe ich in zwei Punkten: Erstens ist cardTAN unabhängig von Smartphone-Akku, Mobilfunkempfang und App-Updates. Zweitens ist der TAN-Generator durch die optische Übertragung gegen klassische Man-in-the-Middle-Angriffe gut geschützt, weil die Transaktionsdaten zur Bestätigung direkt am Generator angezeigt werden. Die Schwächen sind ebenso konkret: Wer das Gerät vergisst, kann keine eps-Einzahlung machen. Die Generatoren kosten je nach Bank zwischen 0 und 25 Euro. Und der zeitliche Aufwand pro Einzahlung liegt mit etwa 25 bis 35 Sekunden deutlich höher als bei appTAN. In meiner Erfahrung nutzen cardTAN vor allem Spielerinnen und Spieler, die ohnehin ihren Bankalltag damit abwickeln — der zusätzliche Schritt ist dann nur konsequent.
appTAN und Push-Bestätigung
Eine WG-Mitbewohnerin meiner Schwester wechselte vor wenigen Monaten zur ELBA-Pay-App und beschrieb ihre Reaktion mit einem Wort: „Endlich.“ Sie hatte vorher SMS-TAN und kannte den Frust mit verzögerten Codes; nach der Umstellung war die Casino-Einzahlung in zehn Sekunden bestätigt.
Bei appTAN läuft die Mechanik so: Die eps-Überweisung wird im Browser oder in der Casino-App ausgelöst, die Banking-App des Spielers erhält über den Server der Bank einen Push mit dem Inhalt der Transaktion. In der App sehe ich Empfänger (typischerweise STUZZA als technischer Verrechner), Betrag und Verwendungszweck, bestätige per Face ID, Fingerabdruck oder PIN, und der Server meldet die Freigabe zurück. Bei den meisten Banken läuft die Bestätigung in unter zwei Sekunden durch.

Was viele unterschätzen: appTAN ist nicht „nur eine bequemere SMS“, sondern ein technisch sauberer Mechanismus, weil die Banking-App den Push kryptographisch signiert. Das Gerät selbst wird beim Aktivieren mit einem geräteindividuellen Schlüssel registriert, der nicht exportierbar ist. Wer das Smartphone wechselt, muss appTAN am alten Gerät deaktivieren und am neuen aktivieren — das ist die typische Stolperfalle. Ohne diese Reaktivierung bleibt das alte Gerät als TAN-Faktor registriert, und die eps-Einzahlung scheitert dann, weil die Push-Benachrichtigung auf einem ausgeschalteten oder verkauften Handy landet. Bei den großen Banken in Österreich heißen die Varianten s Identity (Erste/Sparkasse), ELBA Push bzw. ELBA-Pay (Raiffeisen), MobileBanking-Push (Bank Austria), BAWAGapp-Push (BAWAG P.S.K.) und Volksbank-App-Push.
Sicherheitsstufen im Vergleich
Ein Compliance-Verantwortlicher einer mittelgroßen Bank in Salzburg formulierte das einmal in einem Workshop so: „Die regulatorische Mindestanforderung erfüllen alle drei; die praktische Sicherheit ist eine andere Frage.“ Genau das ist der Punkt, den Spielerinnen und Spieler kennen sollten.
Regulatorisch sind mobileTAN, cardTAN und appTAN unter PSD2 als starke Kundenauthentifizierung zugelassen. Alle drei kombinieren zwei der drei Faktorenkategorien: Wissen (Anmeldung in der Bank), Besitz (registriertes Gerät bzw. Bankomatkarte), Sein (Biometrie bei appTAN). Auf der praktischen Sicherheitsskala stehen die Verfahren aber unterschiedlich: cardTAN gilt durch die optische Datenübertragung und das transaktionsgebundene TAN-Verfahren als sehr robust. appTAN ist mit der gerätegebundenen Signatur und dem Pinning der App ebenfalls hoch eingestuft, mit dem Vorbehalt, dass ein kompromittiertes Smartphone — gejailbreaktes Gerät, Trojaner — den Schutz reduziert. mobileTAN ist das schwächste Verfahren, weil SMS auf Mobilfunkebene angreifbar bleiben und SIM-Swapping in den letzten Jahren in Österreich nachweislich vorgekommen ist.

Für eps-Casinoeinzahlungen sind die Beträge meist überschaubar (die typischen Limits liegen zwischen 20 und 5000 Euro pro Transaktion), weshalb das absolute Sicherheitsrisiko bei allen drei Verfahren handhabbar bleibt. Wer aber regelmäßig größere Summen bewegt oder häufig auf Reisen ist, sollte mobileTAN aktiv durch appTAN ersetzen. Die Umstellung dauert je nach Bank zwischen fünf und fünfzehn Minuten und ist in jeder modernen Banking-App selbst durchführbar.
Häufige Fragen zu TAN-Verfahren bei eps
Welches TAN-Verfahren ist bei eps-Einzahlungen am sichersten?
cardTAN gilt als robusteste Variante, weil das transaktionsgebundene TAN-Verfahren mit optischer Datenübertragung gegen Man-in-the-Middle-Angriffe gut abgesichert ist. appTAN ist in der praktischen Sicherheit ebenbürtig, sofern das Smartphone nicht kompromittiert ist — die Vorteile sind die kryptographische Signatur und die Bindung an das registrierte Gerät. mobileTAN ist das schwächste der drei zugelassenen Verfahren, weil SMS-basierte Codes durch SIM-Swapping angreifbar bleiben. Für typische eps-Casinoeinzahlungen zwischen 20 und 5000 Euro sind alle drei regulatorisch ausreichend, für höhere Beträge und Vielreisende empfehle ich appTAN oder cardTAN.
Unterstützen alle österreichischen Banken alle drei TAN-Verfahren?
Nahezu jede österreichische Bank bietet inzwischen mindestens zwei der drei Verfahren an, in der Regel appTAN plus eines der anderen. Erste Bank und Sparkasse setzen primär auf s Identity, Raiffeisen auf ELBA Push bzw. die ELBA-Pay-App, Bank Austria auf den MobileBanking-Push, BAWAG P.S.K. auf die BAWAGapp, Volksbank auf den Volksbank-App-Push. cardTAN-Generatoren werden je nach Bank entweder kostenlos zur Bankomatkarte ausgegeben oder gegen Aufpreis zwischen 0 und 25 Euro bestellt. mobileTAN bieten die meisten Häuser noch als Fallback an, aktivieren es bei Neukunden aber zunehmend nicht mehr standardmäßig.
Was tun, wenn die TAN nicht ankommt oder die Bestätigung scheitert?
Bei mobileTAN ist der häufigste Grund das Roaming oder eine vergriffene Roaming-SMS-Option im Ausland; eine erneute Anforderung nach dreißig Sekunden behebt das oft. Bei appTAN ist der Push fast immer durch Energiespareinstellungen blockiert, die die Banking-App im Hintergrund beenden — die App-Berechtigung
Welches Verfahren in welcher Lebenssituation passt
Drei Verfahren parallel klingen nach Wahlfreiheit, sind in der Praxis aber eher drei verschiedene Lebenssituationen. Wer überwiegend mobil unterwegs ist und sein Smartphone ohnehin in jeder freien Minute zur Hand hat, fährt mit appTAN am schnellsten und gleichzeitig sicher. Wer beruflich kein privates Banking-App-Setup haben kann oder will, nutzt cardTAN als unabhängige Hardware-Lösung. mobileTAN ist 2026 vor allem noch das Fallback für Übergangssituationen — Smartphone gerade defekt, App noch nicht installiert, neuer Tarif ohne mobile Daten — und sollte nicht das tägliche Werkzeug bleiben.

Wer regelmäßig in eps-Casinos einzahlt, sollte einmal aktiv prüfen, welches Verfahren auf dem eigenen Konto aktiv ist, und in den Sicherheitseinstellungen der Banking-App nachjustieren. Die Umstellung kostet zehn Minuten, spart pro Einzahlung mehrere Sekunden — und macht die Differenz zwischen einer reibungslosen Casino-Sitzung und der wiederkehrenden Frage, ob die SMS gleich noch kommt.
Lerne die Unterschiede zwischen mobileTAN und cardTAN auf unserer Hauptseite.
Verwalte deine Bestätigungen ganz bequem durch schnelles mobiles Banking am Smartphone.
Erstellt von der Redaktion von „Casino eps”.
