Werter Leser, es wird viel geschrieben über Phishing wenn der Tag lang ist, die Winterabende düster und der Frühling noch zaghaft unterwegs. So mancher meint uns euphorisch mitteilen zu müssen, dass indizierte TANs (ITANs) die letzte Errungenschaft der Wissenschaft und die heilige Wunderwaffe gegen Phishing darstellen.
Zugegeben, iTANs sind Ableger der Spezies der sog. "one-time passwords (OTP)", ein an sich sehr sicheres Verfahren und schon etliche hundert Jahre alt, also mit Sicherheit kein novum und schon gar keine Innovation aber dennoch etwas Feines unter der Annahme, dass die involvierten Chiffriereinrichtungen nicht kompromittiert wurden. Dennoch erlaube ich mir im Zeitalter von Chipkarten, Signaturen und Token die Sinnfrage hinsichtlich des logistischen Unfugs des TAN-Versands zu stellen.

Unter der Prämisse, dass sich der Online Banking Anwender einen Trojaner eingefangen hat sind iTANs so sicher wie TANs nämlich überhaupt nicht und damit hat sich's auch schon. Angesetzt werden muss am Rechner/Terminal/Mindset des Anwenders. Eine Abwälzung der rechtlichen Verantwortung für permanent verseuchte PCs auf die Bankinstitute ist rechtlich sicher nicht haltbar und mir die Entrüstung der Anwendere nicht nachvollziehbar. Der Umgang mit dem Internet birgt Risken und bringt für Mitglieder einer Informationsgesellschaft Verantwortung mit sich. Unwissenheit und Naivität schützen vor Schaden/Strafe nicht.
Andererseits tun sich die Bankinstitute auch keinen Gefallen wenn mit fragwürdigen Konzepte wie iTANs dem Kunden kosmetischer Aktivismus und eine trügerische Sicherheit vorgegaukelt wird.