Transaktionsnummer

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort.

Als Teilnehmer beim Electronic Banking erhält man eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine TAN eingegeben werden. Sie gilt quasi als Unterschrift und verfällt nach einmaligem Gebrauch. Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, durch die sich nach der Auftragsannahmeim Gegenzug die kontaktierte Bank nochmals als rechtmäßiger Kommunikationspartner ausweist.

Auch in Deutschland sind nun schon Betrugsfälle vorgekommen, bei denen Transaktionsnummern aus Listen durch Phishing ausgespäht wurden. Als Antwort darauf haben einige Banken bereits erweiterte TAN-Verfahren im Einsatz bzw. stehen kurz vor der Einführung.

Eine Variante -- genannt mTAN (Postbank) oder SMSTAN (1822direkt) -- besteht in der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking - Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS entweder eine nur für diesen Vorgang verwendbare TAN auf sein Handy gesendet. Diese gibt er im Onlinebanking ein und schließt damit den Überweisungsvorgang ab.

Noch einen Schritt weiter geht das Verfahren der indizierte TAN (kurz iTAN): Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern die Bank fordert den Kunden auf, die TAN an einer bestimmten Position (Index) seiner dazu nun durchnumerierten Liste einzugeben. Die Positionsangabe wird von der Bank mit den Kernparametern der vorher eingegebenen Auftragsdaten verknüpft -- z.B. mit der Kontonummer und Bankleitzahl des Empfängers einer Überweisung. Selbst wenn nun dieser mit der angeforderten TAN unterschriebene Auftrag von einem Angreifer abgefangen wird, so kann er keinen Nutzen daraus ziehen: Für andere Überweisungsziele oder gar andere Aufträge wird die einmal angeforterde TAN nicht mehr angefragt werden.

Siehe auch: HBCI, PIN, Secure Sockets Layer (SSL)