Transaktionsnummer
Eine Transaktionsnummer (TAN) ist ein Einmalpasswort.
Realisierung
Es gibt verschiedene Ansätze um TAN zu erzeugen, zu prüfen und zum Nutzer zu übertragen. Einige davon werden im folgenden beschrieben.
TAN-Liste
Als Teilnehmer beim Electronic Banking erhält man, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine TAN eingegeben werden. Sie ist eine Ergänzung zur PIN. Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue.
Indizierte TAN-Liste
Noch einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern die Bank fordert den Kunden auf, die iTAN von einer bestimmten Position (Index) seiner dazu nun durchnummerierten Liste einzugeben. Damit wird der Mißbrauch gestohlener TAN behindert, da ein TAN-Dieb nun eine ganz bestimmte TAN benötigt und nicht mehr mit einer beliebigen TAN des Kunden einen Auftrag fälschen kann.
TAN mit Bestätigungsnummer
Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, durch die sich nach der Auftragsannahme im Gegenzug die kontaktierte Bank nochmals als rechtmäßiger Kommunikationspartner ausweist.
mTAN
Eine Variante - genannt mTAN oder SMSTAN - besteht in der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Handy gesendet. Diese gibt er im Onlinebanking ein und schließt damit den Überweisungsvorgang ab. Dieses Verfahren bietet gegenwärtig die Postbank ihren Kunden an.
TAN-Generator
Die Übermittlung der TAN an den Nutzer, sei es als Brief oder auf elektronischem Weg, stellt ein gewisses Sicherheitsrisiko dar. Sie kann entfallen, wenn Serviceanbieter und Nutzer sich auf eine mathematische Funktion einigen, die abhängig von der Uhrzeit und einem gemeinsamen Geheimnis automatisch neue TANs erzeugt. Die technische Realisierung erfolgt durch Übergabe eines elektronischen TAN-Generators (s. Bild), manchmal auch als Token bezeichnet, an den Nutzer. Auf Knopfdruck erzeugt dieser jeweils eine neue TAN. Voraussetzung für die Funktionsfähigkeit des Verfahrens sind synchron gehende Uhren auf beiden Seiten.
Sicherheit
Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, ergibt sich eine Wahrscheinlichkeit von
Anstatt zu raten, kann der Betrüger versuchen, TAN auszuspähen. Des öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TAN einzugeben.
Obwohl das iTAN-Verfahren als Reaktion auf das Phishing eingeführt wurde, bietet es nur geringen Schutz dagegen[1][2]. Die angeblich erhöhte Sicherheit des iTAN Verfahrens ist nicht erwiesen. Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTan-Verfahren muss der Betrüger lediglich nach Erhalt von Kontonummer und PIN eine Verbindung zum Rechner der Bank aufbauen, das Überweisungsformular in seinem Sinne ausfüllen, und dann die Anfrage der Bank nach der iTAN an den Kunden weiterleiten. Ein Kunde, der bereits seine Kontonummer und PIN eingegeben hat, wird nach entsprechender Aufforderung auch mit großer Wahrscheinlichkeit seine iTAN in der gefälschten Internetseite eintragen und damit dem Betrüger übermitteln. Dieser kann dann die geforderte iTAN auf der Seite der Bank eintragen.
Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing. Bei der Postbank wird dem Kunden beim Versand der mTAN nochmal die gesamte Überweisung im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit seine Überweisung mit der bei der Bank eingereichten Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Natürlich muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern den gesamten Text überprüfen.
Die Sicherheit der verschiedenen TAN-Verfahren (TAN, iTAN, mTAN) ist generell begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft ist. Dadurch kann die Bank nicht alleine mithilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Falls beim mTAN-Verfahren der Kunde auf Aufforderung des Betrügers die mTAN auf einer gefälschten Internetseite eingibt, kann die Bank den Fehler nicht feststellen.
Wesentlich größere Sicherheit bieten Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier allein anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht und auch, ob die Überweisung korrekt ist.