Online-Banking: 20 Bankenportale im Test

Evolution: iTAN, BEN und mTAn

Um die Nachteile der normalen TAN auszugleichen, setzen die meisten Online-Banking-Anbieter auf weiterentwickelte Systeme. Prominenteste Vertreter sind die iTAN- und mTAN-Verfahren.

iTAN steht für indizierte Transaktionsnummer. Dabei erhält der Anwender wie bisher seinen TAN-Block auf Papier, nur ist jede TAN nummeriert. Führt der Nutzer nun eine Aufgabe aus, die eine Bestätigung erfordert, verlangt das System eine ganz bestimmte TAN. Nur die Transaktionsnummer mit der passenden laufenden Nummer genehmigt die Aufgabe. iTAN schützt effektiver gegen Phisher, da diese eben genau die zur Überweisung passende Nummer brauchen. Wissenschaftlern ist es allerdings bereits gelungen, das iTAN-System durch gezieltes Phishing zu knacken. Nachteil von iTAN ist, dass der Nutzer für jede Überweisung seine komplette iTAN-Liste zur Hand haben muss.

Als Verbesserung der iTAN haben einige Banken die Bestätigungsnummer, kurz BEN eingeführt. Diese befindet sich auf dem iTAN-Bogen des Nutzers jeweils neben einer iTAN. Führt ein User eine Aktion aus, die eine iTAN erfordert, gibt das System die dazugehörige BEN aus. Diese wiederum muss zur angegebenen Nummer auf dem iTAN-Zettel passen, eine Art digitale Quittung also.

mTAN steht für mobile Transaktionsnummer und ist ein „richtiges“ Zwei-Faktor-System. Wird eine Transaktion oder eine andere sensible Operation durchgeführt, sendet der Server die passende TAN an das Handy des Nutzers. Zusätzlich erhält der User noch einmal alle wichtigen Informationen zur Transaktion. Die Nummern werden vom Server nach einem sicheren Schlüssel generiert, beim User landet also nur die jeweils passende Nummer.

mTAN ist allerdings kostenaufwendig. Zum einen muss die Bank für die notwendige Infrastruktur wie SMS-Gateway sorgen, zum anderen sind SMS-Gebühren an den Netzbetreiber fällig.