Freitag, 19. April 2024

Archiv

Online-Banking
Mögliche Sicherheitslücken beim mTan-Verfahren

Das mTan-Verfahren - dabei werden Freischaltungsnummern über das Handy versandt - soll das Online-Banking sicherer machen. Dennoch konnten sich zuletzt IT-Kriminelle Zugang zu Bankkonten verschaffen und Geld abbuchen. Welche Risiken für Verbraucher bestehen, weiß DLF-Redakteur Stefan Römermann.

Stefan Römermann im Gespräch mit Susanne Kuhlmann | 11.08.2014
    Ein Mann tippt eine Nachricht in sein iPhone.
    Das mTan-Verfahren gilt als vergleichsweise sicher, weil dabei zwei unabhängige Systeme genutzt werden: der PC und das Smartphone. (picture alliance / dpa)
    Susanne Kuhlmann: Bequem ist es auf jeden Fall, online Überweisungen vom Girokonto auf den Weg zu bringen. Und dank des mTan-Verfahrens soll es auch sicher sein. Dabei bekommt der Bankkunde im letzten Schritt des Überweisungsvorgangs die sechsstellige Trankaktionsnummer per SMS aufs Handy geschickt. Ein Bankkunde aus Rheinland-Pfalz ist gerade Opfer eines Betrügers geworden, der sich in sein Online-Banking eingehackt und zweimal 9.900 Euro abgebucht hat. In Nordrhein-Westfalen gab es im vorigen Monat einen ähnlichen Fall und im vergangenen Herbst eine ganze Serie. Solche Vorfälle können Online-Bankkunden alarmieren. Mein Kollege Stefan Römermann ist im Studio. Werfen wir zunächst einen Blick auf dieses mTan-Verfahren. Wie funktioniert es? Was ist das mTAN Verfahren?
    Stefan Römermann: Sie haben es ja schon angedeutet: Wenn ich im Online-Banking eine Überweisung ausführen möchte, tippe ich erst einmal die Kontodaten ein. Und dann bekomme ich zur Bestätigung noch einmal eine kurze Zahlenfolge, die Transaktionsnummer oder mTAN als SMS auf Telefon geschickt. Und nur wenn ich die dann noch im Computer eingetippt habe, wird die Überweisung auch wirklich ausgeführt. Das System gilt als vergleichsweise sicher, weil da zwei unabhängige Systeme genutzt werden. Einmal der PC und dann das Smartphone. Um an mein Geld zu kommen, muss ein Hacker also beide Systeme angreifen – und das ist doch erheblich komplizierter, als wenn man nur einen PC hacken muss.
    Kuhlmann: Was ist bei diesen neuen Fällen konkret passiert?
    Römermann: Wie gesagt: Es ist vergleichsweise einfach, einen PC mit Schadsoftware zu infizieren. Ist der PC befallen, können die Hacker dann alle meine Tastatureingaben ausspähen oder auch oder eben auch die Zugangsdaten zum Online-Banking.
    Und genau das haben die Hacker hier auch gemacht. Mit diesen Zugangsdaten können sie aber aber zuerst mal nur den Kontostand anschauen. Wer eine Überweisung ausführen will, braucht ja noch eine Transaktionsnummer. Die Kriminellen haben dann die Handynummer ihres Opfers heraus gefunden. Und dann sind sie in einen Mobilfunkladen gegangen und haben sich eine zusätzliche SIM-Karte für Telefonnummer geben lassen. Die Karte haben Sie dann einfach in ein Handy gesteckt – und plötzlich kamen die SMS mit der Transaktionsnummer nicht mehr auf dem Telefon vom Kontoinhaber an – sondern bei den Kriminellen. Und die haben dann einfach mehrere Überweisungen ausgeführt und so mehrere zehntausend Euro erbeutet.
    Kuhlmann: Wie kann das denn sein, dass die Mobilfunk-Anbieter einfach so eine SIM-Karten rausgeben?
    Überschaubares Risiko
    Römermann: Das ist genau das Problem. Eigentlich darf so etwas überhaupt nicht mehr passieren. Denn die Mitarbeiter in den Läden dürfen die Karten normalerweise nur gegen Vorlage von einem Personalausweis rausgeben. Das haben die Mobilfunkanbieter veranlasst, als diese Masche vor einem dreiviertel Jahr zum ersten mal aufgetaucht ist. Hier haben also vermutlich also Mitarbeiter einfach nicht aufgepasst. Das sind also absolute Einzelfälle. Auch weil das Verfahren für die Kriminellen aufwändig und riskant ist. Um die SIM-Karte zu bekommen müssen sie ja in einen Laden gehen und riskieren, dass man sie gegebenenfalls wiedererkennen kann. Oder das ein Mitarbeiter misstrauisch wird und die Polizei ruft.
    Kuhlmann: Es gibt ja beim mTAN-Verfahren offenbar auch noch eine andere Betrugsmasche. Wie funktioniert die?
    Römermann: Da nutzen die Hacker nutzen aus, das die meisten Mobiltelefone inzwischen selbst kleine Computer sind. In den bisherigen Fällen war es dann so, dass zum Beispiel in einer gefälschten Mail, die angeblich von der Bank kam, drin stand, dass man jetzt auf seinem Telefon unbedingt noch eine spezielle Sicherheitssoftware oder irgendwelche Zertifikate installieren muss, wenn man das Online-Banking weiter benutzen möchte. Das ist aber natürlich Blödsinn, denn die vermeintliche Sicherheitssoftware ist tatsächlich Schadsoftware und fängt dann die SMS mit der Transaktionsnummer ab und schickt sie an die Kriminellen weiter.
    Kuhlmann: Wie groß ist das Risiko für Verbraucher? Was sollen die jetzt tun?
    Römermann: Ich denke, das Risiko ist durchaus überschaubar. Denn beim Online-Banking haften in aller Regel die Banken, wenn Schäden auftreten. Nur, wenn ich als Verbraucher wirklich sehr, sehr leichtsinnig war, bleibe ich auf dem Schaden unter Umständen sitzen. Deshalb gelten die Standard-Tipps: Immer die aktuellen Updates für den Computer einspielen und ein Anti-Viren-Programm installieren. Und ansonsten: aufmerksam sein. Und wenn irgendwelche seltsamen Abbuchungen da sind, oder wenn einem beim Online-Banking sonst irgendetwas mir seltsam vorkommt – dann sollte ich die Bank anrufen und nachfragen, ob das alles in Ordnung ist. Und besonders vorsichtig sein sollte man, wenn es darum geht, auf dem Telefon irgendwelche Software zu installieren, wenn man mit dem Telefon auch das mTAN-Verfahren nutzt.