Die indizierte TAN – iTAN

tan_blockDas iTAN-Verfahren zählt mittlerweile zu den ältesten aber auch unsichersten Methoden des Online Banking. Bankkunden erhielten ursprünglich mit der Post ihre angeforderten TAN-Listen auf Papier. Allein die Tatsache, dass derartig wertvolle Nummernkombinationen auf einem Zettel Papier gedruckt sind, weckt bei Bankkunden im digitalen Zeitalter berechtigte Bedenken.

Voraussetzung

Wesentliche Voraussetzung zum iTAN-Verfahren muss der Kunde nicht mitbringen. Natürlich machte eine iTAN-Liste nur dann Sinn, wenn der Kunde gleichzeitig aktiver Online Banker ist. Waren alle TANs der Liste fast aufgebraucht, erhielt der Kunde ohne Aufforderung der Bank eine neue iTAN-ste per Post zugesendet.

Anwendung

Auf der von der Bank versendeten iTAN-Liste sind circa 100 TANs vermerkt. Die TANs sind durchnummeriert – vor jeder TAN steht eine Indexnummer. Löst der Bankkunde online einen Auftrag aus, generiert die Bank für ihn eine entsprechende Indexnummer. Diese Nummer findet er auf der TAN-Liste und gibt sie in das vorgegebene Online-Formular ein. Mit der Betätigung des Button „Weiter“ oder „Auftrag senden“, ist die Transaktion von Kundenseite beendet und die restlichen Schritte werden durch die Bank eingeleitet. Für jeden Auftrag gilt nur eine TAN.

Wurde die TAN hinter der Indexnummer falsch eingegeben, forderte die Bank den Kunden auf mit einer neuen TAN den Auftrag zu bestätigen und abzuschließen.

Vorteile

Im Vergleich zu dem gegenwärtig am häufigsten verwendeten TAN- bzw. HBCI-Verfahren gibt es keine nennenswerten Vorteile mehr im iTAN-Verfahren.

Die große Gefahr des iTAN-Verfahrens liegt vor allem bei der TAN-Erzeugung. Die TANs sind an keine anderen Daten wie:

  • Datum
  • Uhrzeit
  • Kontonummer oder
  • Auftragssumme gebunden.

Zudem existiert kein zweiter Übermittlungsweg wie bei den heute gängigen TAN-Verfahren. Einziger Übermittlungsweg bleibt das Internet. Eine Schadsoftware kann Änderungen bei Konto- bzw. Auftragsnummer vornehmen ohne dass Bank oder Kunde Kenntnis davon nehmen würden. Umso einfacher haben es dadurch die Internetbetrüger. Mit der Beendigung des TAN-Verfahrens als iTAN-Verfahren wurde ein erster wichtiger Schritt gegen die Cyberkriminalität im Online Banking getan.

Bis zum Jahr 2013 versendete die Deutsche Bank an ihre Bankkkunden noch iTAN-Listen, um Kunden das Online Banking zu ermöglichen. Inzwischen hat die Deutsche Bank auf das kostenpflichtige mTAN-Verfahren umgestellt. (Stand: 9. Mai 2014)

Autor: DH