Online-Banking mit mTAN unsicher?

Vor nicht allzu langer Zeit musste wer Online-Banking betreiben wollte, seine TAN-Listen hüten wie ein Schatz. Wer gar Konten bei unterschiedlichen Banken hatte, der war gezwungen gleich ein ganzes Arsenal an Papierlisten zu hüten. Wollte man in den Urlaub fahren oder war aus anderen Gründen länger abwesend, so mussten diese Listen sicher verstaut mit auf die Reise.

Spontane Überweisungen erforderten zunächst regelmäßig ein Heranschaffen der sicher verwahrten und ggf. versteckten TAN-Liste, zumindest soweit man diese nicht gleich für jeden Einbrecher ersichtlich neben seinem PC aufbewahrte. Dies konnte hin und wieder auch ein bisschen dauern. Insbesondere dann, wenn man sich beim Verstecken besonders große Mühe gegeben hatte und sich nicht mehr an den konkreten Aufbewahrungsort erinnern konnte.

mTAN bringt Erleichterung

Erleichterung versprach da das mit dem Handy-Boom einhergehende mTAN-Verfahren, denn das Handy ist für gewöhnlich eh immer in der Hosentasche dabei. Eine Ausnahme hiervon mag u.U. (je nach Breite, Tiefe und Befüllungsvolumen) die Aufbewahrung des Handys in einer Frauenhandtasche sein, dabei handelt es sich jedoch nur um unbestätigte Gerüchte. ;-)

Das mTAN-Verfahren bietet neben der besseren usability trotzdem den gleichen Sicherheitsvorteil in Form einer sog. Zwei-Faktor-Authentifizierung, denn neben der eigentlichen PIN ist für eine Überweisung ja weiterhin die Eingabe einer TAN erforderlich, welche ja als SMS auf das Handy geschickt wird. Soweit das Handy dann noch gegen einen unbefugten Zugang mit einer PIN geschützt ist, könnte man ja denken:

Mehr Schutz geht gar nicht!

mTAN = absolute Sicherheit?

Aber ist das wirklich so? Sie ahnen es vermutlich bereits, aber um den Spaß vorweg zu nehmen:

Auch eine mTAN bietet keine absolute Sicherheit.

Trojaner löscht sich selbst

Der Anti-Viren-Programmhersteller Trend Micro hat über einen Trojaner namens „Retefe“ berichtet, welcher seine Spuren nach der Infektion des Rechners weitestgehend wieder löscht um einer Entdeckung durch Anti-Virenprogramme zu entgehen. Dabei verbleiben jedoch manipulierte Dateien auf dem infizierten Rechner, welche Zugriffe für 34 Banken-Domains in der Schweiz, in Österreich, Schweden und Japan auf eine täuschend echt aussehende und verschlüsselte Bank-Website der Kriminellen umleiten.

SMS werden abgefangen

Nachdem der Bankkunde dort seine PIN eingegeben hat, wird er aus Sicherheitsgründen aufgefordert ein Programm auf seinem Smartphone zu installieren, wobei es sich in Wahrheit um einen Android-Trojaner handelt, welcher die SMS der Bank abfängt und an die Kriminellen weiterreicht. So gelangen die Kriminellen in den Besitz der PIN und des notwendigen Sitzungs-Tokens. Das gleiche Prinzip ist jedoch auch für mTANs übertragbar. Das Einkaufen bereitet so besonderes Vergnügen, jedoch nur für die Kriminellen und nicht für den Bankkunden.

Was kann ich tun?

Der Trojaner kam im vorliegenden Fall via E-Mail als getarnte Rechnung ins Haus.

• Öffnen Sie daher keine Anhänge mit angeblichen Rechnungen, wenn diese üblicherweise per Post kommen!
• Beziehen Sie Apps für Smartphones nur aus seriösen Quellen (z.B.: Google Play, den Amazon App-Shop oder iTunes). Wenn Sie die Quelle nicht kennen: Finger weg!
• Ziehen Sie andere Authentifizierungsmethoden in Betracht (z.B. HBCI oder ChipTAN)!

Übrigens:

§ 675v BGB bestimmt, dass die Bank ihrem Kunden bei einem Online-Betrug in solchen Fällen nachweisen muss, dass er mindestens grob fahrlässig gehandelt hat. Ist dies nicht der Fall, so kann die Bank lediglich einen Betrag in Höhe von 150,- EUR ersetzt verlangen.