Wie funktioniert iTAN und wo kommt das System zum Einsatz?

Das iTAN-Verfahren gilt als eines der ältesten TAN-Verfahren. Dennoch kommt es weiterhin bei einigen Banken zum Einsatz. Wir erklären Ihnen, was Sie darüber wissen müssen.

Sachbezugskarte
Sachbezugskarte

Das iTAN-Verfahren verspricht keine echte Sicherheit

Inhaltsverzeichnis

  1. Was unterscheidet iTAN von normalen TAN-Listen?
  2. Wie genau funktioniert die Nutzung von iTAN?
  3. Was sagen Experten zum iTAN-Verfahren?
  4. Sollte ich das iTAN-Verfahren nutzen?
  5. Welche Alternativen gibt es zum iTAN-Verfahren?
  6. Von iTAN sollten Sie sich verabschieden

itan-liste-klein

Das iTAN-Verfahren war einstmals eine Revolution und ebnete den Weg zum sicheren Online-Banking. Die sogenannte indizierte TAN-Liste löste die herkömmlichen TAN-Listen ab und versprach ein Plus an Sicherheit. Heutzutage gibt es allerdings viele weitere Technologien, die beim Umfang deutlich über das iTAN-Verfahren hinausgehen. Dieses ist zwar zweifelsfrei das einfachste TAN-Verfahren. Gleichzeitig gibt es aber zum einen Sicherheitsmängel und zum anderen Schwierigkeiten bei der Praktikabilität. Wie genau das iTAN-Verfahren funktioniert, wo es zum Einsatz kommt und ob das iTAN-Verfahren für Sie Sinn ergibt, wollen wir Ihnen in diesem Ratgeber erklären.

Was unterscheidet iTAN von normalen TAN-Listen?

iTAN ist wie bereits angedeutet eine Abkürzung für indizierte TAN-Liste. Nicht zu verwechseln ist das iTAN-Verfahren mit dem Vorgänger, den normalen TAN-Listen. Diese wurden in den Anfangszeiten des Online-Bankings von allen Banken genutzt, wurden danach allerdings immer öfter über Phishing-Angriffe attackiert. Der entscheidende Unterschied zwischen den beiden Systemen ist, dass die indizierte Liste nicht nur mit mehreren sechsstelligen Transaktionsnummern (TANs) versehen ist, sondern diese auch nummeriert sind. Bei jeder Transaktion im Online-Banking wird eine konkrete Nummer abgefragt. Wenn beispielsweise die 82 abgefragt wird, müssen Sie die TAN neben dieser Nummer eingeben. Beim ursprünglichen TAN-Verfahren konnten Sie die Transaktion dagegen mit einer beliebigen TAN bestätigen.

Wie genau funktioniert die Nutzung von iTAN?

Einer der größten Vorteile des iTAN-Verfahrens ist die einfache Nutzung. Wenn Sie iTANs nutzen, erhalten Sie von Ihrer Bank automatisch eine TAN-Liste zugesendet, mit der Sie Transaktionen bestätigen können. Die Zusendung erfolgt auch dann wieder automatisch, wenn Sie eine gewisse Anzahl an TANs verbraucht haben (Achtung: als verbraucht gelten TANs auch dann, wenn Sie abgefragt, aber nicht eingegeben wurden). Auch beim Online-Banking selbst ist die Nutzung von iTANs besonders einfach. Sie müssen nur eine Transaktion Ihrer Wahl – zum Beispiel eine Überweisung – durchführen und werden dann zur Bestätigung nach einer nummerierten TAN gefragt. Sobald Sie die TAN gefunden und eingegeben haben, müssen Sie nur noch einmal klicken und Ihre Transaktion wird bestätigt. Sollten Sie drei Mal in Folge eine falsche Transaktionsnummer eingeben, wird Ihr Online-Banking in den meisten Fällen gesperrt. Zudem werden alle weiteren Transaktionsnummern Ihrer TAN-Liste entwertet. Sollte es zu einem solchen Fall kommen, müssen Sie sich mit Ihrer Bank in Verbindung setzen, um die Situation zu klären.

Was sind die Vorteile des iTAN-Verfahrens?

miles-more-app

Das iTAN-Verfahren zeichnet sich natürlich allen voran durch seine Einfachheit aus. Kaum ein anderes TAN-Verfahren funktioniert nach einem so simplen Muster. Zudem benötigen Sie für die Verwendung von iTAN-Listen keinerlei zusätzliches technisches Equipment. Sie können mit der manuellen Liste und einem Computer unkompliziert Transaktionen durchführen. Ein Smartphone oder ein zusätzliches Gerät ist bei iTAN nicht notwendig. Dazu kommt, dass das iTAN-Verfahren gerade bei älteren Nutzern des Online-Bankings äußerst beliebt ist. Die meisten Anfangsnutzer des Online-Bankings sind TAN-Listen gewöhnt und haben sich mit diesem System zurechtgefunden.

Was sind die Nachteile des iTAN-Verfahrens?

Wenngleich iTAN gerade bei älteren Nutzern des Online-Bankings weiterhin beliebt und auch generell noch weit verbreitet ist, gibt es doch einige Nachteile. Auch wenn iTAN als deutlich sicherer gilt als herkömmliche TAN-Listen, ist die Sicherheit der größte Nachteil von iTAN-Listen gegenüber moderneren TAN-Systemen. Das liegt daran, dass Hacker auf zwei Wegen Zugriff auf iTAN-Listen gewinnen können und somit eine Gefahr für Sie darstellen können.

Zum einen wurden verschiedene Viren entdeckt, die eine Einblendung im Online-Banking selbst vornehmen. Das heißt konkret: Sie loggen sich in Ihr Online-Banking ein und werden dann an bestimmten Stellen nach einer oder mehrerer TANs gefragt. Dabei geht es aber gar nicht um die Bestätigung einer Transaktion, sondern nur um das Abfangen dieser Nummer. Hat ein Hacker genug TANs gesammelt, kann er mit einer großen Wahrscheinlichkeit eine Transaktion durchführen, die von Ihnen so nicht gewollt ist. Haben Sie beispielsweise bereits 50 TANs verwendet, bleiben nur noch 50 Möglichkeiten übrig. Schafft es der Hacker, Ihnen 5 TANs aus dieser TAN-Liste abzuluchsen, liegt die Wahrscheinlichkeit bei einer Transaktion „richtig“ zu liegen, bei immerhin zehn Prozent. Das Risiko eines solchen Angriffes ist zwar deutlich geringer als bei klassischen TAN-Listen, zu unterschätzen sind Angriffe dieser Art allerdings dennoch nicht.

Zum anderen wurde eine Sicherheitslücke durch den sogenannten „Man-in-the-middle“-Angriff aufgedeckt. Konkret handelt es sich um einen Virus, der sich immer dann einschaltet, wenn ein Kunde eine Transaktion durchführt. Was genau geht vor sich? Der Virus schreibt im Hintergrund in Echtzeit die eigentlichen Transaktionsdaten wie Empfänger oder Betrag um, während Sie ganz normal die Überweisung durchführen. Sie können entsprechend überhaupt nicht feststellen, dass sich etwas geändert hat. Sobald Sie dann die Transaktionsnummer aus Ihrer iTAN-Liste eingeben, wird die Transaktion bestätigt und durchgeführt. Oft merken Sie erst danach, dass der Virus alle Daten verändert hat – teilweise ist es dann schon zu spät, das Geld noch zurückzuholen. Je nach Virus können Sie die Änderungen auf der Bestätigungsseite sehen – ein genauer Blick ist entsprechend ratsam. Dennoch sind Viren dieser Art äußerst gefährlich und machen das gesamte iTAN-Verfahren als solches zu einem nicht 100 Prozent sicheren Verfahren.

Bedenken sollten Sie darüber hinaus, dass das iTAN-Verfahren auch gerade in der Zeit der modernen Mobilität problematisch ist. Da Sie nur eine TAN-Liste haben, müssen Sie diese auch immer vollständig mitführen. Das heißt konkret, dass Sie auch ein großes Risiko eingehen, wenn Sie die gesamte Liste verlieren sollten. Damit ist das Mitführen der iTAN-Liste nicht nur unpraktisch, sondern gleichzeitig auch gefährlich. Wenn Sie die Liste allerdings zuhause lassen, können Sie unterwegs keinerlei Transaktionen durchführen.

Was sagen Experten zum iTAN-Verfahren?

paar-laptop-karte

Die Kritik am iTAN-Verfahren hat in den vergangenen Jahren immer weiter zugenommen (Stand: 07/2017). Schon im Mai 2009 wies der Kriminalhauptkommissar des Bundeskriminalamts (BKA), Mirko Manske, darauf hin, dass Phishing-Angriffe auch beim iTAN-Verfahren eine ernstzunehmende Gefahr bedeuten würden. Allein 2008 gab es nach Angaben des BKA 1.800 erfolgreiche Phishing-Angriffe. Zudem haben bereits mehrere Experten darauf hingewiesen, dass die Man-in-the-middle-Attacke eine große Gefahr darstellen kann. Im sogenannten Darknet kursieren bereits seit 2007 entsprechende Kits, welche die Verwendung von Angriffen dieser Art für Hacker einfach möglich machen. Bei einer einzigen Attacke wurden im Jahr 2010 beispielsweise 1,65 Millionen Euro gestohlen.

Auf Grund der insgesamt negativen Haltung von Sicherheitsexperten hat die Europäische Agentur für Netz- und Informationssicherheit (ENISA) allen Banken dazu geraten, das iTAN-Verfahren teilweise aus dem Verkehr zu ziehen und die Computer ihrer Kunden generell als infiziert zu betrachten. Dabei hat die Behörde darauf hingewiesen, dass Sicherheit nur dann gewährleistet werden könne, wenn der Kunde die Daten noch einmal an einem anderen Gerät bestätigen könne. Das sei bei anderen, moderneren Verfahren möglich (aber auch nicht bei allen). Da es sich allerdings nicht um ein Gesetz, sondern nur eine Empfehlung handelt, können die Banken ihren Kunden auch weiterhin iTAN-Listen anbieten, wenngleich diese keine echte Sicherheit versprechen.

Sollte ich das iTAN-Verfahren nutzen?

Wenn Sie einen genauen Blick auf den vorangehenden Abschnitt geworfen haben, sollte Ihnen klar geworden sein: Das iTAN-Verfahren ist nicht mehr zeitgemäß und verspricht Ihnen leider auch nicht mehr die nötige Sicherheit beim Online-Banking. Die meisten Banken empfehlen Ihnen deshalb einen Wechsel zu einem moderneren Verfahren zur Bestätigung Ihrer Transaktionen. Gleichzeitig wird Ihnen das iTAN-Verfahren als Neukunde generell nur noch von sehr wenigen Banken angeboten. Sollten Sie vor der Wahl stehen, raten wir Ihnen dazu, sich eine andere Lösung als das klassische iTAN-Verfahren auszusuchen.

Das gilt auch dann, wenn Sie bereits seit Längerem das iTAN-Verfahren nutzen. In diesem Fall sollten Sie bei Ihrer Bank nach möglichen Alternativen fragen. Teilweise können Sie auch direkt im Online-Banking ein neues TAN-Verfahren auswählen und dieses durch die Bestätigung mit Ihrer TAN-Liste aktivieren beziehungsweise bestellen. Sofern Ihnen diese Option nicht direkt im Online-Banking zur Verfügung steht, sollten Sie sich an Ihre Bank wenden und dort nach Alternativen fragen. Die meisten Institute bieten Ihnen gerne einen einfachen Wechsel auf ein anderes TAN-Verfahren an. Meist stehen Ihnen dabei mindestens zwei Lösungen zur Verfügung.

Welche Alternativen gibt es zum iTAN-Verfahren?

Wenn Sie sich entschieden haben, dass ein Wechsel die richtige Entscheidung ist, stellt sich die Frage, welches System zukünftig die Ideallösung ist. Grundsätzlich gibt es dabei drei TAN-Verfahren, die Sie im Auge haben sollten:

TAN-Verfahren_1

Beim mTAN-Verfahren benötigen Sie zwingend ein Mobiltelefon. Dabei müssen Sie allerdings nicht ein besonders modernes Telefon besitzen. Für die Nutzung von mTAN ist nämlich kein Smartphone vonnöten. Vielmehr funktioniert mTAN, wie auch der oft synonym verwendete Begriff smsTAN zeigt, über SMS. Sobald Sie sich für mTAN angemeldet und verifiziert haben, erhalten Sie zur Bestätigung Ihrer Transaktionen im Online-Banking eine TAN direkt auf Ihr Smartphone gesendet. Mit dieser TAN können Sie die Transaktion dann im Online-Banking bestätigen.

Besonders ist an diesem Verfahren, dass Sie in der SMS nicht nur die TAN, sondern auch noch einmal alle Daten zur Transaktion erhalten. Dadurch sehen Sie sofort, ob alle Daten auch weiterhin korrekt sind – Man-in-the-middle-Attacken werden so äußerst unwahrscheinlich. Praktisch ist das mTAN-Verfahren auch deshalb, weil Sie Ihre Transaktionen im Prinzip weltweit bestätigen können. Überall, wo Sie Zugriff auf das Online-Banking, Ihr Smartphone und Handyempfang haben, können Sie problemlos und einfach Transaktionen durchführen.

Das mTAN-Verfahren anhand eines Videos erklärt:

Als Alternative zu mTAN hat sich das eTAN-Verfahren etabliert. Vielmals wird dieses Verfahren auch als chipTAN bezeichnet. Grundsätzlich gilt eTAN sogar als noch sicherer als mTAN, hat dafür aber Nachteile in puncto Praktikabilität. Das eTAN-Verfahren funktioniert nach dem folgenden Muster: Sie erhalten von Ihrer Bank einen sogenannten TAN-Generator. Teilweise müssen Sie aber einmalig dafür zahlen. Wenn Sie dann eine Transaktion in Ihrem Online-Banking durchführen, werden Sie gebeten, den Generator an den Bildschirm zu halten. Davor müssen Sie allerdings auch noch Ihre Girokarte in den TAN-Generator stecken und warten, bis die Karte erkannt ist. Danach liest der Generator in Verbindung mit der Chipkarte vom Bildschirm einen Code ab. Sobald dieser Prozess abgeschlossen ist, wird Ihnen auf dem Generator eine Übersicht aller Transaktionsdaten aufgezeigt – auch hier fallen Man-in-the-middle-Attacken sofort auf. Danach folgt die TAN, mit der Sie die Transaktion dann im Online-Banking bestätigen können. Grundsätzlich gilt diese Variante durch die dreifache Identifizierung (Log-in im Online-Banking, TAN-Generator und Girokarte) als besonders sicher. Dafür müssen Sie allerdings auch damit zurechtkommen, dass Sie neben dem Online-Banking noch ein weiteres Gerät brauchen, um Ihre Transaktionen durchzuführen. Gerade wenn Sie viel unterwegs sind, ist das unter Umständen nicht gerade praktisch.

tan-generator

Das modernste TAN-Verfahren ist pushTAN. Hierbei handelt es sich allerdings um eine Lösung für die Sie zwingend ein Smartphone benötigen. Generell funktioniert pushTAN über eine Applikation Ihrer Bank. Der besondere Vorteil liegt dabei daran, dass Sie nur noch ein Gerät brauchen, um eine Transaktion durchzuführen. Genau davon wird allerdings teilweise abgeraten. Mit pushTAN können Sie direkt in der App Ihres Online-Bankings eine Transaktion ausführen und diese dann auch direkt verifizieren. Was im ersten Moment unsicher klingt, baut auf modernste Technologien. Notwendig sind zur Bestätigung nämlich sogenannte kryptografische Schlüsse. Ein solcher kann beispielsweise ein Fingerabdruck sein. Durch diese besondere Art der Verifizierung ist ein Missbrauch schwer möglich. Bislang steht Ihnen pushTAN allerdings nur bei wenigen Banken als mögliches TAN-Verfahren zur Wahl. Darüber hinaus wird über die tatsächliche Sicherheit dieses TAN-Verfahrens auch weiterhin diskutiert.

Von iTAN sollten Sie sich verabschieden

Zum Ende dieses Ratgebers wollen wir Ihnen auf den Weg geben, dass Sie sich im Idealfall von iTAN verabschieden sollten. Das lange Zeit als Standard angesehene System verspricht Ihnen schlichtweg keine sonderlich hohe Sicherheit mehr und wurde in den vergangenen Jahren bereits vielfach missbraucht (Stand: 07/2017). Wenn Sie nicht gerade ein Computerexperte sind und Ihren Computer nur schwerlich gegen Hacker schützen können, ist iTAN schlichtweg kein wirklich sicheres TAN-Verfahren mehr. Vielmehr raten wir Ihnen, sich in unserem Ratgeber über die Alternativen schlau zu machen und im Zweifel das Gespräch mit Ihrem Bankberater suchen. In Zukunft ist Ihr Online-Banking damit nicht nur sicherer, sondern meist auch einfacher – besonders dann, wenn Sie öfter unterwegs sind.

Bildquellen:

iTAN-Liste: ID 67127795 © Björn Wylezich | Dreamstime.com
Mann mit Smartphone: miles-and-more.com
Paar mit Karte und Laptop: Denis Raev | Dreamstime.com
Aufzählungen: Bezahlen.de
TAN-Generator und -Liste: ID 48490902 © Schlenger86 | Dreamstime

Sehr beliebt

 
  • WhatsApp