TAN-Verfahren bei eps-Casino-Buchungen — von MobileTAN über cardTAN bis FIDO2

Editoriale Übersicht der TAN-Verfahren österreichischer Banken im eps-Casino-Flow

Wer eps in einem Casino bestätigt, durchläuft eine Bank-spezifische Authentifizierung — je nach Hausbank ist das ein anderes TAN-Verfahren. MobileTAN bei Bank Austria, App-Push bei Erste, cardTAN bei BAWAG, RaiffeisenSign bei Raiffeisen, OberbankSign bei Oberbank. Aus PSD2-Sicht erfüllen sie alle den SCA-Standard, aber sie unterscheiden sich in Bedienkomfort und Robustheit gegen Phishing.

In sechs Jahren Beobachtung sehe ich, wie sich die TAN-Landschaft kontinuierlich konsolidiert. SMS-TAN ist fast vollständig verschwunden, App-Push hat sich durchgesetzt, cardTAN bleibt eine Nische für Spieler ohne Smartphone, FIDO2 mit Sicherheitsschlüssel taucht erstmals in Premium-Konten auf. Dieser Leitfaden zeigt, wie sich die einzelnen Verfahren bei eps-Casino-Buchungen konkret verhalten.

MobileTAN und pushTAN — die heutigen Standard-Verfahren

Die zwei häufigsten Verfahren in Österreich heute sind MobileTAN (klassisch via SMS) und pushTAN (per Banking-App-Notification). MobileTAN war lange die Standard-Variante: Bank-Server sendet eine SMS mit sechsstelligem Code, Kunde tippt Code in das Online-Banking-Formular ein. Bei Bank Austria heißt die App-basierte Variante davon MobileTAN-App, bei Erste war es lange Zeit das Verfahren scotty.

PushTAN-Benachrichtigung in einer generischen Banking-App auf dem Smartphone

Push-TAN funktioniert anders. Statt eines Codes wird eine Bestätigungs-Anfrage direkt in die Banking-App gesendet — der Kunde sieht die Transaktionsdaten (Empfänger, Betrag) auf dem Smartphone und bestätigt mit Biometrie oder App-PIN. Kein Tippen, kein Wechsel zwischen Geräten. Bei eps-Casino-Buchungen ist das die schnellste Variante: Push trifft binnen Sekunden ein, ein Fingerabdruck genügt, die Buchung läuft.

Aus Phishing-Sicht ist Push-TAN deutlich robuster als SMS-TAN. SMS können über SIM-Swap-Angriffe abgegriffen werden; Push-TAN verlangt die physische App auf dem Smartphone mit aktiver Bank-Session. Die meisten österreichischen Banken haben SMS-TAN deshalb in den letzten Jahren abgekündigt oder als Backup-Lösung degradiert.

CardTAN — das BAWAG-spezifische Verfahren mit Lesegerät

BAWAG P.S.K. setzt traditionell auf cardTAN, ein Verfahren mit einem kleinen physischen Lesegerät. Der Kunde steckt die Bankkarte in das Lesegerät, das Gerät erzeugt einen Code basierend auf einer von der Bank übermittelten Transaktions-Information. Der Code wird in das Banking-Frontend eingetippt.

Generisches cardTAN-Lesegerät mit eingesteckter Plastikkarte auf einem Schreibtisch

Vorteil von cardTAN: Es funktioniert ohne Smartphone und ist offline robust. Wer im Funkloch sitzt oder das Smartphone nicht zur Hand hat, kann mit dem Lesegerät die Buchung trotzdem bestätigen. Aus Sicherheitssicht ist cardTAN extrem robust gegen Phishing, weil der Code physisch im Lesegerät erzeugt wird und nicht über ein Netz übertragen wird, das ein Angreifer abfangen könnte.

Nachteil: Das Lesegerät muss mitgeführt werden. Bei eps-Casino-Buchungen unterwegs ist das selten — wer mobil spielt, hat das cardTAN-Gerät meist nicht in der Tasche. In der Praxis nutzen BAWAG-Kunden cardTAN vor allem zu Hause am Desktop; mobile Buchungen laufen über die Banking-App und damit über pushTAN.

PhotoTAN — der QR-Code-basierte Hybrid

photoTAN ist ein Verfahren, das ein Bild oder einen QR-Code als Träger für die Transaktions-Information nutzt. Bank-Frontend zeigt einen QR-Code, Banking-App scannt ihn, App zeigt die Buchungs-Details, der Kunde bestätigt. Bei eps-Casino-Buchungen ist photoTAN in Österreich selten — manche Spezial-Konten und einige Hypo-Modelle nutzen es, aber es ist kein flächendeckendes Verfahren.

Smartphone scannt einen photoTAN-QR-Code von einem Computer-Bildschirm

Im Vergleich zu pushTAN hat photoTAN einen kleinen Sicherheitsvorteil: Der QR-Code muss physisch gescannt werden, was Phishing über manipulierte Login-Seiten schwieriger macht. Im Vergleich zu pushTAN hat es einen klaren Komfort-Nachteil: Der Kunde muss aktiv das Smartphone hochnehmen und den Code scannen, statt nur eine Push-Notification zu bestätigen.

Der internationale Trend geht in Richtung pushTAN, weil der Komfort das wichtigste Bedienkriterium für Massen-Nutzung ist. photoTAN ist in Deutschland deutlich verbreiteter als in Österreich, vor allem bei Sparkassen-Filialen.

FIDO2 und Sicherheitsschlüssel — die Zukunft

FIDO2 ist ein offener Standard für Authentifizierung mit Hardware-Schlüsseln (USB-Stick, NFC-Token, oder ins Smartphone eingebettet). In Österreich tauchen FIDO2-Verfahren erstmals in Premium-Konten und Private-Banking-Bereichen auf, sind im Standard-Privatkundengeschäft aber noch selten. Bei eps-Casino-Buchungen ist FIDO2 heute noch die Ausnahme.

FIDO2-Sicherheitsschlüssel im USB-Port eines Laptops für die Banking-Authentifizierung

Was FIDO2 anders macht: Statt Code, App oder SMS authentifiziert ein physischer Hardware-Schlüssel über kryptographische Signaturen. Phishing-Angriffe gegen FIDO2 sind praktisch unmöglich, weil der Schlüssel die echte Bank-Domain prüft und sich gegen falsche Domains weigert. Das macht FIDO2 zur sichersten verfügbaren Methode.

Was den breiten Durchbruch noch verzögert: Der Hardware-Schlüssel ist physisch zu beschaffen, kostet typischerweise 20 bis 70 Euro, muss gepflegt werden. Für Casino-Spieler ist das ein Hemmschwellen-Argument — die meisten bleiben bei der bequemen pushTAN. In drei bis fünf Jahren könnte FIDO2 breiter werden, wenn Smartphones den Sicherheitsschlüssel nativ integrieren.

Praxis im Casino — welches Verfahren wann zu erwarten ist

Erste-Bank-Kunden: scotty mit pushTAN-Flow, biometrische Bestätigung. Buchungs-Dauer im eps-Casino-Flow: typischerweise drei bis acht Sekunden für die TAN-Phase.

Raiffeisen-Kunden: RaiffeisenSign mit pushTAN. Ähnliche Geschwindigkeit, manchmal etwas mehr Vorlauf, wenn die App im Hintergrund geschlafen hat.

Spieler bestätigt eine eps-Casino-Buchung in der Banking-App mit pushTAN-Verfahren

BAWAG-Kunden: cardTAN am Desktop, pushTAN über die Banking-App mobil. Bei eps-Casino mobil also typischerweise pushTAN, am Desktop häufiger cardTAN, je nach Konto-Konfiguration.

Bank-Austria-Kunden: MobileTAN-App (das App-basierte Verfahren, nicht klassisches SMS-MobileTAN). Funktioniert wie pushTAN bei anderen Banken.

Oberbank- und Hypo-Kunden: OberbankSign respektive die jeweilige Hypo-App, beide mit pushTAN-Logik.

Volksbank-Kunden: Signatur-App mit pushTAN.

Aus regulatorischer Sicht: PSD2-SCA (Strong Customer Authentication) verlangt seit 2019 zwei unabhängige Faktoren — Wissen (PIN), Besitz (Smartphone mit registrierter App), Inhärenz (Biometrie). Alle hier beschriebenen Verfahren erfüllen diese Anforderung. Mehr als 80 Prozent der österreichischen E-Commerce-Shops unterstützen eps, was zeigt, wie verlässlich der TAN-Stack im Massengeschäft funktioniert. Wer den regulatorischen Hintergrund tiefer verstehen will, findet ihn in PSD2-SCA als gemeinsamen Standard.

Ein praktischer Hinweis aus der Beratung zu Backup-Verfahren: Jede österreichische Bank bietet typischerweise mindestens zwei TAN-Verfahren parallel — das primäre (pushTAN per App) und ein Backup für den Fall, dass das Smartphone verloren geht oder die App nicht funktioniert. Wer noch nie nachgeschaut hat, sollte einmal im Banking-Portal unter „Sicherheit“ oder „Authentifizierung“ prüfen, welche Backup-Methode aktiviert ist. Wer mobil regelmäßig eps-Casino-Buchungen macht, will im Krisenfall nicht erst stundenlang den Kundenservice anrufen müssen, sondern direkt auf cardTAN oder ein zweites Smartphone umsteigen können.

Eine letzte Beobachtung zu den biometrischen Verfahren: Face ID und Touch ID werden im Hintergrund vom Betriebssystem geprüft, nicht von der Banking-App selbst. Das bedeutet, dass die App nie biometrische Daten sieht — sie fragt nur, ob das lokale OS den Nutzer akzeptiert. Diese Architektur macht Biometrie sicherer als App-PIN, der theoretisch beim Tippen beobachtet werden könnte. Bei eps-Casino-Buchungen ist Biometrie deshalb die Empfehlung für Spieler mit moderner Smartphone-Ausstattung.

Welche Bestätigungsverfahren akzeptiert eps für SCA-konforme Casino-Einzahlungen?

Alle Verfahren, die die PSD2-SCA-Anforderung erfüllen — pushTAN per Banking-App, cardTAN per Lesegerät, photoTAN per QR-Scan, FIDO2 mit Hardware-Schlüssel. Welches konkrete Verfahren genutzt wird, hängt von der jeweiligen Hausbank und dem aktivierten Konto-Profil ab.

Wie unterscheidet sich pushTAN im scotty-Frontend von cardTAN bei BAWAG?

pushTAN über scotty läuft als App-Notification mit biometrischer Bestätigung am Smartphone. cardTAN bei BAWAG nutzt ein physisches Lesegerät, das aus der Bankkarte einen Code generiert. cardTAN funktioniert ohne Smartphone, pushTAN nur mit aktivierter Banking-App.

Wann lohnt sich ein FIDO2-Sicherheitsschlüssel für eps-Casino-Buchungen?

Für sehr sicherheitsbewusste Spieler oder bei sehr hohen Beträgen — der Hardware-Schlüssel macht Phishing-Angriffe praktisch unmöglich. Für den durchschnittlichen Casino-Spieler ist pushTAN derzeit das bessere Verhältnis aus Sicherheit, Komfort und Verfügbarkeit.

Erstellt von der Redaktion von „Casino eps”.

eps oder Kreditkarte im Casino — MCC 7995, Issuer-Blockaden und Kreditrisiko | Bankspin

Visa und Mastercard im Casino laufen unter MCC 7995 und werden oft von AT-Issuern blockiert.…

Spielerklagen in eps-Casinos: OGH-Rechtsprechung 2026

Spielerklagen und Rückforderung in eps-Casinos: OGH-Rechtsprechung, Erfolgsquoten, Verjährung, Prozesskosten und Schritte für Betroffene erklärt.

eps Casino mit Oberbank: OberbankSign und 3-Banken-Gruppe

eps-Casino-Einzahlung mit Oberbank: Online-Banking-Login, OberbankSign-Push, konservative Casino-Limits und der 3-Banken-Gruppen-Kontext im Detail.

Maximale eps-Casino-Einzahlung: 10 000-EUR-Garantie und AML

Maximale eps-Casino-Einzahlung 2026: 10 000-EUR-Garantie der STUZZA, Casino-Tageslimits, Bank-Online-Limits, AML-Trigger und High-Roller-Flow.

Spielerschutz im eps Casino: Limits, Selbstsperre, Hilfe

Spielerschutz im eps Casino: Einzahlungs- und Verlustlimits setzen, win2day-Sperrdatei, Frühwarnsysteme und Beratungsstellen in Österreich erklärt.