Bei Betrügern, die mittels Phishing versuchen, den Kunden von Finanzdienstleistern ihre TAN zu entlocken, um mit deren Hilfe dann das Konto zu plündern, war die Postbank in den vergangenen Monaten ein beliebtes Ziel. Mit einem neuen Verfahren, das auf "indizierten Transaktionsnummern" (iTANs) basiert, versucht der Finanzdienstleister nun, dem digitalen Bankraub einen Riegel vorzuschieben. Dabei erhalten die Kunden Listen mit durchnummerierten Zahlenkombinationen. Welche Nummer zum jeweiligen Zeitpunkt gültig ist, wird ihnen im Vorfeld einer Transaktion von der Bank mitgeteilt.

Freigeschaltet wird die TAN nur für kurze Zeit, damit versehentlich preisgegebene TANs für Phisher wertlos werden. "Nach wie vor gilt aber, dass die Kunden ihre Daten nicht preisgeben dürfen, wenn sie von Betrügern dazu aufgefordert werden", mahnte die Postbank. Als zusätzliche Sicherheit können Postbankkunden nun die Höchstlimits für Überweisungen selbst festlegen. Phisher verschicken E-Mails, die aussehen, als kämen sie von der Bank des Kunden. Darin werden die Online-Banking-Nutzer aufgefordert, unter anderem eine TAN einzugeben, die normalerweise zur Freigabe einer Überweisung gedacht ist. Mit dieser TAN könnten Betrüger dann vom Konto des Kunden herunter überweisen.

Bisher bekamen Postbank-Kunden Listen mit 100 TANs, aus denen sie frei wählen konnten. In Zukunft werden sie bei einer Transaktion aufgefordert, eine bestimmte TAN aus der Liste zu nutzen. Die Gefahr, dass ein Phisher eine erbeutete TAN einsetzen kann, sinkt damit auf ein Prozent. Bislang hat nach Angaben der Postbank noch keiner ihrer Kunden Phishing-Schäden erlitten. Auch die Deutsche Bank hat angekündigt, indizierte TANs bis Anfang 2006 einführen. (rg/tc)