Beim iTAN-Verfahren wird der Kunde zur Bestätigung einer Transaktion nicht mehr aufgefordert, eine beliebige TAN einzugeben, sondern eine spezielle, die auf seiner TAN-Liste mit einer entsprechende Index-Zahl gekennzeichnet ist. Damit sollen solche TAN-Nummern wertlos werden, die von Phishern erbeutet wurden.
Das Risiko eines Man-in-the-Middle-Angriffs wird dadurch jedoch nicht geringer, auch wenn ein solcher Angriff mehr Aufwand seitens des Angreifers erfordert. Bei einem Man-in-the-Middle-Angriff schiebt der Angreifer dem Bankkunden eine gefälschte Website unter, stellt im Hintergrund aber eine Verbindung zur Original-Website her, von der auch die Anforderung einer speziellen iTAN kommen muss. Hat der Kunde diese eingegeben, führt der Angreifer damit augenblicklich eine Transaktion zum eigenen Vorteil durch.
"Die Erläuterungen zur iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung wichtiger Regeln geben kann", fordert der Experte.