iTAN (indexed transaction number)

Beim Online-Banking werden verschiedene PIN/TAN-Verfahren benutzt. Beim klassischen PIN/TAN-Verfahren wird bei jeder wirtschaftlichen Transaktion eine beliebige Transaktionsnummer aus einer Liste in das TAN-Feld eingetragen. Dies hat erhebliche Nachteile, da beim Phishing die Transaktionsnummern abgefragt und für Betrugstransaktionen benutzt werden können. Aus diesem Grund wurde die indizierte Transaktionsnummer, iTAN, eingeführt.


Das indizierte TAN-Verfahren arbeitet mit einer Liste mit fortlaufenden Nummern, denen jeweils eine zufällig indizierte Transaktionsnummer zugeordnet ist. Bei der indizierten Transaktion fragt die Bank nicht nach einer x-beliebigen, sondern nach einer bestimmten TAN aus der TAN-Liste, beispielsweise nach der 43. TAN-Nummer, die dann eingetragen werden muss. Die Transaktion wird nur dann bestätigt, wenn der Kunde die richtige Transaktionsnummer eingetragen hat. Dies schränkt das Phishing enorm ein.

Auszug aus einer elektronischen Transaktion mit indizierter TAN (iTAN)

Auszug aus einer elektronischen Transaktion mit indizierter TAN (iTAN)

Eine Aushebelung des iTAN-Verfahrens ist nur in Echtzeit möglich, in dem der Angreifer die Kommunikation zwischen Geldinstitut und Kunden über sich umleitet, den Datenstrom ausliest und Teile davon blockiert.

Die Europäische Union hat das indizierte TAN-Verfahren für Überweisungen vom Girokonto im September 2019 abgeschafft. An ihre Stelle tritt die europäische Zahlungsdiensterichtlinie Payment Service Directive (PSD2).

Informationen zum Artikel
Deutsch: Indizierte Transaktionsnummer
Englisch: indexed transaction number - iTAN
Veröffentlicht: 30.08.2019
Wörter: 191
Tags: #Geldverkehr
Links: Angreifer, Datenstrom, Echtzeit, Kommunikation, Online-Banking