Beim normalen PIN/TAN-Verfahren wird bei jeder wirtschaftlichen Transaktion eine beliebige Transaktionsnummer aus einer Liste in das TAN-Feld eingetragen. Dies hat erheblichen Nachteile, da beim Phishing die Transaktionsnummern abgefragt und für Betrugstransaktionen benutzt werden können. Aus diesem Grund haben einige Geldinstitute die indizierte Transaktionsnummer, iTAN, eingeführt.

<< Anzeige >>

Auszug aus einer elektronischen Transaktion mit indizierter TAN (iTAN)

Dabei handelt es sich um eine Liste mit fortlaufenden Nummern, denen jeweils eine zufällig indizierte Transaktionsnummer zugeordnet ist. Bei der indizierten Transaktion fragt die Bank nicht nach einer x-beliebigen, sondern nach einer bestimmten TAN aus der TAN-Liste, beispielsweise nach der 43. TAN-Nummer, die dann eingetragen werden muss. Die Transaktion wird nur dann bestätigt, wenn der Kunde die richtige Transaktionsnummer eingetragen hat. Dies schränkt das Phishing enorm ein.

Eine Aushebelung des iTAN-Verfahrens ist nur in Echtzeit möglich, in dem der Angreifer die Kommunikation zwischen Geldinstitut und Kunden über sich umleitet, den Datenstrom ausliest und Teile davon blockiert.