Online-Banking: Cyber-Mafia nimmt mobileTAN-Verfahren ins Visier

Die TAN-Übermittlung über einen vom Computer unabhängigen zweiten Kanal erschwert die Manipulation des Zahlungsverkehrs. Doch die gut organisierten internationalen Banden arbeiten schon daran, das Schutzsystem zu unterlaufen. Nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und von Virenabwehr-Spezialisten aus der Privatwirtschaft kursieren erste Programme, die Bankkunden dazu verleiten, Spionagesoftware auf internetfähigen Smartphones zu installieren und die Vorteile der mobileTAN-Methode wieder zu verspielen.

Vorteile der mobilen TAN-Methode

Deren Vorteile basieren auf der Kombination von zwei Komponenten: Zunächst werden TAN-Legitimationsnummern für Kontobewegungen nicht mehr in Listenform vorbereitet, sondern "in Echtzeit" von der Bank speziell für jene Transaktion erzeugt, die der Kunde gerade in seinen PC eingegeben hat. Die mobileTAN, die das Geldinstitut dem Kunden über eine vorher hinterlegte Handynummer per SMS zuschickt, gilt nur für kurze Zeit und exakt für jene Überweisung, die er am Bildschirm eingibt. Betrugsversuche, bei denen Hacker die Transaktion während ihrer digitalen Übertragung heimlich verändern und umleiten, werden erschwert.

Cyber-Kriminelle, die das verbesserte System knacken wollen, müssen darüber hinaus künftig zwei voneinander völlig unabhängige Geräte infiltrieren. Reichte es bisher, PCs von Bankkunden zu verseuchen, brauchen Hacker für erfolgreiche Angriffe auf das mobileTAN-Banking nun zugleich Zugang zu deren Handy. "Die Trennung der Übertragungswege bietet grundsätzlich einen Sicherheitsgewinn", sagt BSI-Sprecherin Nora Basting.

Cyber-Mafia rüstet auf

Gleichwohl schließt das Attacken der schnell lernenden Online-Mafia bei unvorsichtigem Verhalten von Nutzern nicht prinzipiell aus, wie die jetzt aufgetauchten modifizierten Schadprogramme für internetfähige Smartphones belegen. Dabei hacken sich Kriminelle in ein Online-Bankkonto und hinterlassen dort ein kleines Programm, das den Kunden dazu auffordert, seine Handynummer und sein Handymodell einzugeben, damit ihm seine Bank ein Update schicken kann. Tut er dies, teilt er mit, welches Gerät er benutzt und erhält dann eine SMS.

Diese enthält einen Link zu einer Datei, die er installieren soll. Dabei handelt es sich um ein Spionageprogramm, was am Smartphone empfangene mobileTAN mitliest und an den Betrüger weiterleitet. Da dieser nun sowohl Zugriff auf den Computer als auch das dazugehörige Handy eines Kunden hat, kann er über dessen Online-Bankzugang eine Überweisung an sich selbst in Auftrag geben und erhält die zur Legitimation nötige, eigens dafür generierte mobileTAN dann mit Hilfe der Handy-Spionagesoftware zugeschickt. Damit kann er die Transaktion starten.

Das BSI und die Banken mahnen deshalb mobileTAN-Bankkunden zum Misstrauen, wenn sie auf ihren Online-Banking-Seiten nach ihrer Handynummer oder anderen, normalerweise unüblichen Daten gefragt werden. Zudem raten sie den Besitzern internetfähiger Smartphones, eines nicht zu vergessen: Das mobileTAN-Verfahren ist nur dann sicherer als die vorigen Systeme, wenn das Handy nicht zugleich auch als Computer für das Online-Banking benutzt wird. Wickelt ein Kunde beides über ein Gerät ab, hebelt er dessen höhere Schutzwirkung ohnehin wieder aus.