Erklärung von TAN-Nummern und TAN-Liste
In den letzten Jahren wurden immer mehr die Möglichkeiten des Internets wegen der Verbreitung desselben umgesetzt. Besonders im Bereich des Kundenkomforts kann man online einiges machen. Den Anfang machte die elektronische Post. Kurz darauf konnte man im Internet auch fast jede Ware kaufen.
Was also lag näher als auch das Geld von Zuhause aus zu verwalten? Das Online-Banking war also geboren, und nun mussten die Banken den Verbraucher die Angst davor nehmen, dass sogenannte Hacker das Kundenkonto virtuell leerräumen könnten. Das Sicherheitssystem musste dafür über ein individuellen Benutzernamen und kreatives Passwort hinausgehen. Deshalb geben die Banken als zusätzlichen Sicherheitsschritt den Online-Kunden nach seiner Anmeldung per Post eine Liste mit TANs. Bekannt sind diese TANs nur der Bank und dem Kunden. Der Bank dient die TAN als Quasi-Unterschrift, und geht erst bei korrekter Eingabe der TAN davon aus, dass der Kunde einen Auftrag abgesendet hat. TAN ist die Abkürzung für Transaktionsnummer, welche wiederum als Einmalpasswort Verwendung findet. Sie soll die Sicherheit erhöhen, dass persönliche Daten geschützt bleiben, und Betrug und Diebstahl minimiert werden. Wie bereits erwähnt kann der Verbraucher beim Buchungsvorgang jede TAN nur einmal ins System eingeben. Wenn alle TANs auf der Liste aufgebraucht sind, kann der Kunde aber durch eine neue, individuelle Liste vom Geldinstitut anfordern. Obwohl die TAN-Liste eine breite Verwendung durch die Banken findet, gilt sie als veraltet.
Bei einer beispielsweisen TAN-Länge von 6 Zahlen und 100 dieser TANs umfassenden Liste, bei der der Kunde eine beliebige TAN eingeben darf, und zusätzlich 3 Eingabeversuche besitzt, haben Diebe eine Wahrscheinlichkeit von ungefähr 0,03% um eine TAN zu erraten. Das bedeutet, dass in etwa jeder 3334. Versuch von Dieben Erfolg hat. Deshalb werden immer wieder neuere Verfahren versucht zu entwickeln und zu etablieren. Eines dieser neueren Verfahren ist zum Beispiel iTAN. iTAN ist die Bezeichnung für indizierte TAN. Hierbei muss reicht es nicht, wenn der Kunde seinen Auftrag durch eine beliebige TAN aus der Liste bestätigt. Stattdessen muss er eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus einer durchnummerierten Liste eingeben. Dadurch kann ein Betrüger eine TAN nicht mehr zeitlich unabhängig erschleichen. Allerdings haben iTANs den Nachteil, dass ein Kunde die Liste immer komplett bei sich führen muss, wenn er Bankauftrage außerhalb von Zuhause aufgeben möchte. Deshalb fällt einem Dieb immer gleich die komplette Liste in die Hände. Als weitere Sicherheitsverschärfung kann der Kunde das TAN-Verfahren um eine zusätzliche Bestätigungsnummer, der sogenannten BEN, erweitern. Dies allerdings macht die Aufgabe von Aufträgen allerdings um einen zusätzlichen Schritt komplizierter.
Aber auch andere Branchen fernab des Bankwesens wollen die Möglichkeiten des Internets für ihre Kunden, Angestellten oder Mitglieder nutzen, und sehen der in Verwendung von TANs eine Notwendigkeit, die zwar die Bedienung der Website des jeweiligen Anbieters schlechter stellt, aber die Sicherheit im Sinne des Nutzers erhöhen. Die Friedrich Schiller Universität in Jena zum Beispiel hatte die Idee ihren Studenten die Uni-Bürokratie so angenehm wie möglich zu machen, indem sie für jeden einzelnen Studenten ein eigenes Uni-Konto angelegt hat, wo sich der Student beispielsweise eine Studienbescheinigung bequem von zu Hause aus herunterladen kann. Um die Daten des Studierenden zu schützen, folgte die Universität dem Beispiel der Banken und integrierte im System einen Sicherheitsschritt, bei dem der Student vor dem Erhalten der Bescheinigungen eine TAN eingeben muss. TANs sind also für die heutige Zeit von ziemlicher Bedeutung. Sie geben dem Kunden das Gefühl von mehr Sicherheit, welches letztendlich da sein muss, wenn er auf Online-Banking oder sonstigen Konten mit persönlichen Daten vertrauen will. Allerdings stellen TANs – zumindest in der gegenwärtigen Verwendung – nur eine zusätzliche Sicherheitsmaßnahme zum individuellen Passwort dar, die das Risiko eines Diebstahls noch nicht soweit reduzieren können, dass Hacker und Diebe kapitulieren müssten.