Online-Banking mit mTAN unsicher?

it-sicherheit 56
News

Vor nicht allzu langer Zeit musste wer Online-Banking betreiben wollte, seine TAN-Listen hüten wie ein Schatz. Wer gar Konten bei unterschiedlichen Banken hatte, der war gezwungen gleich ein ganzes Arsenal an Papierlisten zu hüten. Wollte man in den Urlaub fahren oder war aus anderen Gründen länger abwesend, so mussten diese Listen sicher verstaut mit auf die Reise.

Spontane Überweisungen erforderten zunächst regelmäßig ein Heranschaffen der sicher verwahrten und ggf. versteckten TAN-Liste, zumindest soweit man diese nicht gleich für jeden Einbrecher ersichtlich neben seinem PC aufbewahrte. Dies konnte hin und wieder auch ein bisschen dauern. Insbesondere dann, wenn man sich beim Verstecken besonders große Mühe gegeben hatte und sich nicht mehr an den konkreten Aufbewahrungsort erinnern konnte.

mTAN bringt Erleichterung

Erleichterung versprach da das mit dem Handy-Boom einhergehende mTAN-Verfahren, denn das Handy ist für gewöhnlich eh immer in der Hosentasche dabei. Eine Ausnahme hiervon mag u.U. (je nach Breite, Tiefe und Befüllungsvolumen) die Aufbewahrung des Handys in einer Frauenhandtasche sein, dabei handelt es sich jedoch nur um unbestätigte Gerüchte. ;-)

Das mTAN-Verfahren bietet neben der besseren usability trotzdem den gleichen Sicherheitsvorteil in Form einer sog. Zwei-Faktor-Authentifizierung, denn neben der eigentlichen PIN ist für eine Überweisung ja weiterhin die Eingabe einer TAN erforderlich, welche ja als SMS auf das Handy geschickt wird. Soweit das Handy dann noch gegen einen unbefugten Zugang mit einer PIN geschützt ist, könnte man ja denken:

Mehr Schutz geht gar nicht!

mTAN = absolute Sicherheit?

Aber ist das wirklich so? Sie ahnen es vermutlich bereits, aber um den Spaß vorweg zu nehmen:

Auch eine mTAN bietet keine absolute Sicherheit.

Trojaner löscht sich selbst

Der Anti-Viren-Programmhersteller Trend Micro hat über einen Trojaner namens “Retefe” berichtet, welcher seine Spuren nach der Infektion des Rechners weitestgehend wieder löscht um einer Entdeckung durch Anti-Virenprogramme zu entgehen. Dabei verbleiben jedoch manipulierte Dateien auf dem infizierten Rechner, welche Zugriffe für 34 Banken-Domains in der Schweiz, in Österreich, Schweden und Japan auf eine täuschend echt aussehende und verschlüsselte Bank-Website der Kriminellen umleiten.

SMS werden abgefangen

Nachdem der Bankkunde dort seine PIN eingegeben hat, wird er aus Sicherheitsgründen aufgefordert ein Programm auf seinem Smartphone zu installieren, wobei es sich in Wahrheit um einen Android-Trojaner handelt, welcher die SMS der Bank abfängt und an die Kriminellen weiterreicht. So gelangen die Kriminellen in den Besitz der PIN und des notwendigen Sitzungs-Tokens. Das gleiche Prinzip ist jedoch auch für mTANs übertragbar. Das Einkaufen bereitet so besonderes Vergnügen, jedoch nur für die Kriminellen und nicht für den Bankkunden.

Was kann ich tun?

Der Trojaner kam im vorliegenden Fall via E-Mail als getarnte Rechnung ins Haus.

  • Öffnen Sie daher keine Anhänge mit angeblichen Rechnungen, wenn diese üblicherweise per Post kommen!
  • Beziehen Sie Apps für Smartphones nur aus seriösen Quellen (z.B.: Google Play, den Amazon App-Shop oder iTunes). Wenn Sie die Quelle nicht kennen: Finger weg!
  • Ziehen Sie andere Authentifizierungsmethoden in Betracht (z.B. HBCI oder ChipTAN)!

Übrigens:

§ 675v BGB bestimmt, dass die Bank ihrem Kunden bei einem Online-Betrug in solchen Fällen nachweisen muss, dass er mindestens grob fahrlässig gehandelt hat. Ist dies nicht der Fall, so kann die Bank lediglich einen Betrag in Höhe von 150,- EUR ersetzt verlangen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

3 Kommentare zu diesem Beitrag

  1. An solchen Beispielen aus dem Alltag sieht man leider sehr schön, warum staatliche Totalüberwachung katastrophale Auswirkungen hat.

    Weil der Staat alles immer und überall überwachen und kontrollieren will, können klassische Kriminelle diese staatlich verordneten Sicherheitslücken und Schwachstellen ebenso ausnutzen.

    Der Staat schafft Unsicherheit, um Sicherheit zu erreichen. Die Kriminellen bedanken sich für soviel törichten Leichtsinn.

  2. Hallo,

    zum Glück gibt es ja andere Möglichkeiten, wenn man HCBI nutzt. Denke wenn man zur Absicherung ein Kartenlesegerät verwendet ist es schon recht sicher.

    Viele Grüße

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.