Home > Ratgeber > iTAN und iTAN Plus

iTAN / iTAN Plus

Das klassische TAN-Verfahren, bei dem Bankkunden eine beliebige Transaktionsnummer aus einer TAN-Liste wählen können, um Überweisungen oder Daueraufträge zu bestätigen, gilt bereits als relativ sicher. Schwachpunkte sind Phishing-Attacken, bei denen Betrüger die Zugangsdaten zum Girokonto samt Transaktionsnummern per E-Mail oder gefälschten Bankseiten ergaunern, und sogenannte Man-in-the-Middle-Angriffe, bei denen sich die Täter in das System hacken und die Überweisungsdaten im Hintergrund austauschen. Um diese Lücken zu schließen, wurde das TAN-Verfahren weiter perfektioniert. Das Ergebnis sind iTAN und iTAN Plus.

Das iTAN-Verfahren

Das „i“ in iTAN steht für indiziert. Daher spricht man auch vom indizierten TAN-Verfahren. Der Unterschied zur bisherigen Vorgehensweise besteht darin, dass die Transaktionsnummern nicht mehr einfach nur aufgelistet, sondern zusätzlich mit Positionsnummern versehen werden. Der Kunde erhält somit eine durchnummerierte TAN-Liste. Statt eine zufällige Transaktionsnummer aus der Liste zu picken, gibt die Bank jetzt explizit vor, mit welcher TAN der Vorgang verifiziert werden muss. Angenommen in der Buchungs- bzw. Bestätigungsmaske wird die Transaktionsnummer 37 verlangt, führt die TAN mit der Index-Nummer 27 zu einer Fehlermeldung. Konsequenz: Die Buchung wird nicht ausgeführt. Sollte man auf eine Phishing-Mail hereingefallen sein und neben den Zugangsdaten auch einige TAN preisgegeben haben, müssten die Täter schon sehr viel Glück haben, dass genau diese Transaktionsnummern gefordert werden. Allerdings sind nach wie vor Man-in-the-Middle-Angriffe möglich.

Das iTAN-Plus-Verfahren

Um auch dieses Manko zu beseitigen, gehen einige Banken noch einen Schritt weiter und nutzen das iTAN-Plus-Verfahren. Die Basis bildet das iTAN-Verfahren mit der indizierten TAN-Liste. Als Plus kommt ein Kontrollbild, ein sogenanntes Captcha hinzu. Ehe der Kunde die gewünschte Transaktionsnummer eingibt, kann er über das Bild die Details zur Überweisung noch einmal in Ruhe kontrollieren. Das Captcha zeigt alle Transaktionsdaten und darüber hinaus das Geburtsdatum des Kunden. Da Betrüger in der Regel nicht wissen, wann ein Kontoinhaber Geburtstag hat, würden fehlerhafte Daten sofort auffallen. Es ist also nahezu unmöglich das Kontrollbild zu fälschen, um eine Transaktion auf ein anderes Konto umzuleiten. Nachteil der Captchas ist ihre Lesbarkeit. Die normale Eingabeforderung der iTAN ist optisch zwar einfacher zu erfassen, zumal es sich um reinen Text handelt. Dafür bietet das Kontrollbild die nötige Sicherheit und macht Datendieben das Leben extrem schwer.