Sicherheitsrisiko „Smartphone“ als Sicherheitsgarant?

smartphone 16
Fachbeitrag

Immer mehr Anbieter binden für Ihre Dienste das Handy des Kunden als Sicherheitsfeature ein. Doch ist ein Handy dafür wirklich geeignet?

Die Minicomputer im Hosentaschenformat sollen beispielsweise beim Onlinebanking und bei der Paketstation Schutz bieten, sind selbst jedoch teilweise löchrig wie ein Schweizer Käse. Ist ein ausreichender Schutz dennoch gewährleistet oder steht das Konto offen wie ein Scheunentor?

Willkommen im Club: Die DHL-Paketstation

Seit gestern kann man den Paketstationsdienst von DHL nur noch mit einer sogenannten mTan nutzen, das Kürzel steht dabei für „Mobile Transaktionsnummer“.

Das Verfahren an der Paketstation ist simpel. DHL verschickt zusammen mit der Benachrichtigung über den Paketeingang eine individuelle und nur begrenzt gültige Ziffernfolge auf das Handy des Nutzers. Diese Ziffernfolge muss man dann bei der Abholung an der Paketstation eingeben. Diese mTan ersetzt die bisher genutzte PIN, die für alle Sendungen gleich war.

Als zusätzliche Sicherheitsmaßnahme wird bei der Abholung die sogenannte „Goldcard“ benötigt, die man bei der Erstanmeldung für den Dienst ausgehändigt bekommt. Durch die Kombination dieser beiden Sicherheitsmerkmale entsteht im Ergebnis eine sehr hohe Sicherheit.

Zusätzlicher Schutz durch die mTan?

DHL hat im Laufe der Zeit auf die immer größer werdenden Sicherheitsrisiken reagiert und das System laufend verbessert. Über Phishing-Mails wurden die Kunden früher aufgefordert, ihre Daten (inkl. Pin) auf einer präparierten Webseite einzugeben, danach wurden die Daten in der Regel für Betrügereien mit Online-Shops verwendet. Diese Schwachstelle wurde bereits mit der verpflichtenden Eingabe der Goldcard behoben.

Entgegen der vorherigen PIN stellt die mTan jetzt nochmal eine Verbesserung des Schutzniveaus dar. Geht die Goldkarte verloren, muss man als Betrüger viel Aufwand betreiben, um an die weiteren Daten zu gelangen.

Aber ist eine mobile TAN so fortschrittlich und sicher, wie das Marketing uns weiß machen will?

Risiken der mTan

Eine mTan alleine stellt heute eigentlich keinen wirklich sicheren Schutz dar. Bereits die Handys der Vergangenheit waren anfällig für Angriffe, die Entwicklung der Smartphones hat das Risiko noch einmal vervielfacht. Der Knackpunkt ist dabei der Empfang der Informationen per SMS. Es gibt eine Reihe von Schadsoftwareprodukten, die jede SMS unbemerkt vom  Nutzer an eine beliebige andere Nummer weiterleiten können. Diese befindet sich in der Regel im Ausland, da in Deutschland die anonyme Registrierung von Telekommunikationsmitteln nicht möglich ist (Ein Umstand, der durchaus einen eigenen Blog-Beitrag verdient!)

Der bekannteste Vertreter dieser schädlichen Zunft ist sicherlich der Trojaner „Zeus“, der unter gütlicher Mithilfe des Nutzers auf das mobile Gerät gelangt. Auf einem infizierten PC erscheint eine Meldung, dass beim Online-Banking zum Empfang der mTan zunächst ein neues Sicherheitszertifikat auf dem Handy installiert werden muss. Auf diesem Weg gelangt der Trojaner dann auf das Smartphone, ein typischer Layer-8-Fehler also. Wenn auf dem infizierten PC jetzt noch eine geschickte Phishing-Seite die richtigen Daten generiert, steht der Selbstbedienung durch den Gauner nichts mehr im Wege.

Das Smartphone als (Un-)Sicherheitsfaktor

Neben der gezielten Installation eines Trojaners stellen auch die bereits vorhandenen, vielfältigen Apps auf einem durchschnittlichen Smartphone ein beträchtliches Risiko dar. Kürzlich wurde bekannt, dass der vermeintlich sichere Datenaustausch vieler Apps eben leider nicht sicher ist. Bei mehr als 1000 der 13.000 untersuchten Apps war es möglich, die SSL-Verschlüsselung auszuhebeln und Anmeldedaten für Facebook, Twitter, Google, Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und Kontodaten abzufangen. Durchaus schockierend, wie schlampig und sorglos hier ganz offensichtlich die Anwendungen programmiert werden.

Mögliche Schutzmaßnahmen

Wie bei allen Maßnahmen zum Schutz der IT-Infrastruktur ist auch hier der Mensch die Schwachstelle. Wer jede kostenlose App installiert und sich nicht wundert, womit die Entwickler wohl ihr Geld verdienen, öffnet dem Datendieb bereitwillig selbst die Tür.

Und selbst der informierte User, der auf dem Smartphone einen Virenscanner einsetzt, ist nicht sicher. Über die Schwachstellen in der SSL-Implementation können etliche Virenscanner umprogrammiert oder sogar ganz ausgeschaltet werden.

Es bleibt also nur der Rat, aufmerksam zu sein und seine Anwendungen mit Bedacht auszuwählen.

Gleiches gilt selbstverständlich auch für die Nutzung des PCs. Die heutigen Phishingseiten sind leider so gut gemacht, dass man durchaus leicht darauf herein fallen kann. Die in der Vergangenheit immer wieder anzutreffenden Rechtschreibfehler und die schlechten Übersetzungen sind größtenteils Geschichte. Bei Heise findet man ein schönes Beispiel einer Paketstationsseite, die man kaum noch von der offiziellen Seite unterscheiden kann.

Weiterführende Infos

Wer mit eigenen Augen sehen möchte, was heute alles auf dem Feld der IT-Angriffe möglich ist, sieht sich am Besten dieses Video an. Es bietet eine gute Stunde kurzweilige Unterhaltung und ein lehrreiches Beispiel für die Risiken der aktuellen Technologien.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Guten Tag,
    zur „Sicherheit“ der „Goldcard“ zitiere ich aus einem Forenbeitrag bei Heise:
    http://www.heise.de/security/news/foren/S-Re-Ohne-Karte-kann-man-nichts-abholen/forum-241299/msg-22646228/read/
    „3 Tracks:
    Name
    Postnummer
    005900000000000000000000
    Nur die Postnummer (und PIN) werden überprüft, was in den anderen beiden Tracks steht ist völlig egal.
    Ja, Plaintext: https://entropia.de/GPN11:Hackstation

    Gruß
    Ein Packstationkunde

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.