Editorial: Besorgen Sie sich ein Uralt-Handy!

Inhaltsverzeichnis:

1. Mobile Banking: TAN, iTAN und mTAN waren allesamt unsicher
2. Komfort und Kosten gegen Sicherheit

Von Kai Petzke

Mobile Banking - besser mit Uralt-Handy? Online-Banking ist praktisch: Mal schnell schauen, wie hoch der Kontostand ist, eine Rechnung bezahlen oder einen Dauerauftrag einrichten. All das geht, ohne bei der Bank vorbeischauen zu müssen. Die Kehrseite ist jedoch, dass Online-Banking genauso (un)sicher ist, wie das für den Zugang verwendete Endgerät. Ist der PC oder Laptop mit einem Trojaner verseucht, können Angreifer die für den Login verwendete PIN ausspähen oder, schlimmer noch, Transaktionen manipulieren und zum Beispiel Überweisungen an sich selbst bzw. an per Spam-Mails angeheuerte Finanzagenten umleiten.

Hinzu kommt das Phishing-Problem, das auch Nutzer mit sauberem PC treffen kann: Angreifer locken dazu beispielsweise per gefälschter Bank-E-Mail die Nutzer auf nachgemachte Bank-Seiten, und verleiten sie dann mit einem Vorwand dazu, PIN und eine oder mehrere TANs einzugeben. Mit denen wird dann das Konto des Nutzers leergeräumt.

Die Gegenmaßnahmen der Banken zur Absicherung des Online-Bankings waren bisher immer vergleichsweise schwach und folglich von begrenzter Wirksamkeit. Vor einigen Jahren stellte die Mehrzahl der Banken beispielsweise von der TAN-Liste, aus der sich der Nutzer zur Autorisierung einer Transaktion eine beliebige Nummer selbst aussuchen kann, auf das indizierte TAN-Verfahren (kurz iTAN) um, bei dem der Bank-Computer vorgibt, welche TAN aus der Liste der Nutzer eingeben soll. Die Angreifer reagierten darauf schnell, und optimierten die für ihre Phish-Züge verwendeten Server-Skripte dahingehend, dass diese nicht wie früher einfach nur PINs und TANs sammeln, sondern sich mit den Eingaben eines Phishing-Opfers sich beim echten Banking-Server anmelden und die Kontoleerräum-Überweisung anfordern, um das anungslose Opfer anschließend nach der "richtigen" indizierten TAN fragen zu können. Gegen Trojaner und manipulierte Browser kann die iTAN sowieso nichts ausrichten.

Mobile TANs per SMS: Nur scheinbar sicherer

Der nächste Schritt der Banken ist das mTAN-Verfahren, bei dem die TANs per SMS übermittelt werden. Meist stehen in der SMS noch weitere Details der Transaktion, zum Beispiel die Kontonummer des Empfängers und der Überweisungsbetrag. Prinzipiell ist das mTAN-Verfahren auch keine schlechte Idee, denn durch den zusätzlichen Kommunikationskanal sollten Manipulationen der Nutzereingaben durch einen manipulierten Browser oder zwischengeschalteten Phishing-Server erkennbar werden.

Doch hat das mTAN-Verfahren einen ganz eklatanten Nachteil: Gelingt es dem Angreifer, Trojaner auf PC und Handy des Opfers zu installieren, hat er unbegrenzten Zugriff auf dessen Konto: Beim nächsten online-Banking-Login schneidet der PC-Trojaner die PIN mit. Mit der kann sich der Betrüger ins Konto einloggen und beliebige Transaktionen anstoßen. Die zugehörigen mTAN-SMS fängt der Handy-Trojaner ab und leitet sie an den Betrüger weiter, der damit die Transaktionen bestätigt. Der Doppeltrojaner bietet beim mTAN-Verfahren dem Angreifer sogar die perfide Möglichkeit, zunächst das Konto nur zu überwachen, um es im optimal erscheinenden Moment leerzuräumen, zum Beispiel nach einem größeren Geldeingang. Ebenso kann der Täter im Namen des Opfers um Erhöhung des Dispo-Kredits bitten oder einen Ratenkredit aufnehmen, um seinen eigenen Gewinn noch zu maximieren.

Die letzteren, besonders ausgebufften Methoden scheinen noch keine Anwendung zu finden. Aber der Doppeltrojaner auf Windows und Android ist traurige Realität: Schon vor knapp zwei Jahren warnte. der Sicherheitsexperte Eugene Kaspersy davor. Mittlerweile scheinen so viele Schäden eingetreten zu sein, dass sich die Berliner Polizei der Warnung anschließt.