Itan-Verfahren mit Lücken

Mitgliedern der Arbeitsgruppe Identitätsschutz im Internet ist es gelungen nachzuweisen, dass sich das Itan-Verfahren ebenso einfach überlisten lässt wie das herkömmliche Streichlistenverfahren. In ihrem Testlauf verlangten sie auf einer gefälschten Banken-Seite Vertragsnummer und PIN-Code. Anschliessend gab ein Skript die Daten auf der Originalseite ein und überwies automatisch einen Betrag auf das Konto der «Betrüger». Sobald das System nach dem TAN an Position XY fragte, erschien auch auf der gefälschten Seite ein entsprechendes Feld. Tippt das Opfer diese Nummer ein, ist das Geld überwiesen. Beim Itan-Verfahren gibt der Online-Banking-Kunde zuerst Vertragsnummer und PIN-Code ein. Zum Abschluss der Transaktion wird zusätzlich eine Transaktionsnummer (TAN) verlangt. Sie ändert sich bei jeder Sitzung. Anders als beim herkömmlichen Streichlistenverfahren fragen die Banken bei Itan die Transaktionsnummern nicht der Reihe nach ab, sondern geben eine bestimmte Position auf der Liste an. In der Schweiz verwendet unter anderem die Migros-Bank ein ähnliches System für ihre Online-Kunden. Hier werden Vertragsnummer, PIN-Code und eine zufällige TAN zum Einloggen benötigt.