Hackerangriffe aufs mTAN-Verfahren So schützen Sie sich beim Onlinebanking

Mit einem komplexen Angriff ist es Kriminellen offenbar gelungen, Geld von fremden Konten zu erbeuten. Hier sind sechs Tipps, wie Sie sich gegen solche Attacken schützen.

Mobile TAN auf dem Handy (Symbolbild)
imago

Mobile TAN auf dem Handy (Symbolbild)

Von


In den vergangenen Monaten ist es Hackern gelungen, Geld von fremden Bankkonten zu erbeuten. Dies gelang ihnen laut einem Bericht der "Süddeutschen Zeitung", indem sie unter anderem eine Schwachstelle im Mobilfunknetz ausgenutzt haben. Betroffen waren Kunden, die sich die Transaktionsnummern (TANs) für Überweisungen per SMS aufs Handy schicken lassen.

Dieses sogenannte mTAN-Verfahren galt lange als sicher - jedenfalls, solange die Bankgeschäfte selbst nicht auf dem gleichen Handy ausgeführt werden, sondern auf einem anderen Gerät. Doch selbst dann gelang es Angreifern bereits 2015, Zehntausende Euro von fremden Konten abzubuchen.

Die Hacker hatten sich damals per Spähsoftware Zugang zum Onlinebanking ihrer Opfer verschafft und sich eine zweite Sim-Karte auf die Namen der Opfer bestellt, um so die SMS mit den TANs empfangen zu können. Ein sehr gezielter Angriff also.

Die Hacker brauchen auch das Passwort

Der aktuelle Angriff ist noch etwas komplexer: Die Hacker brauchen die Kontonummer, das Passwort fürs Onlinebanking und die Handynummer des Opfers. Daran kommen sie mithilfe von Phishing-E-Mails, betrügerischen E-Mails, die arglose Nutzer dazu verleiten sollen, ihre Bankdaten irgendwo einzugeben - im Glauben, es handele sich um die Seite ihrer Bank.

Um auch noch auf die für Überweisungen benötigte TAN aufs Handy zu kommen, nutzten die Angreifer offenbar eine Schwachstelle im weltweiten Roaming-Netzwerk. So schafften sie es, eine entsprechende Rufnummernumleitung einzurichten und schließlich die entsprechende SMS abzufangen.

Solche Angriffe klingen arg theoretisch, und die Möglichkeiten sind der Branche längst bekannt. Nun ist es laut der "Süddeutschen Zeitung" zu konkreten Betrugsfällen gekommen, das berichteten "mehrere Personen" anonym. Wie viele es sind und um welche Banken es geht, wird nicht gesagt. Es heißt aber, die Angriffe seien über die Rufnummerumleitung bei O2 möglich gewesen; beim Angriff im Jahr 2015 waren übrigens Telekom-Kunden betroffen.

So schützen Sie sich vor solchen Angriffen

Selbstverständlich müssen Provider und Banken ihre Kunden beim Onlinebanking schützen. Das klappt offenbar nicht immer. Doch auch die Kunden selbst können mithelfen, das Risiko von Angriffen beim Onlinebanking zu verkleinern. Hier sind sechs Tipps:

1. Vorsicht vor seltsamen E-Mails Ihrer Bank: Niemals wird Ihre Bank Ihnen eine E-Mail schreiben und Sie nach Daten wie Kontonummer, Passwort oder Telefonnummer fragen. Sie wird Sie auch auf diesem Weg nicht bitten, sich irgendwo einzuloggen. Verdächtige E-Mails, die unaufgefordert ankommen, sollte man am besten gar nicht erst öffnen.

Wer sich bei bestimmten E-Mails oder Nachrichten unsicher ist, ob sie wirklich von der Bank stammen, sollte am besten einfach beim jeweiligen Institut anrufen und nachfragen. Das gilt übrigens auch, wenn Sie einen Anruf oder einen Brief bekommen haben, in dem nach Ihren Kontoinformationen gefragt wird.

2. Vorsicht bei Links: Bei einem sogenannten Phishing-Angriff wird etwa die Website der Bank täuschend echt nachgebaut und das Opfer dazu verleitet, sich einzuloggen und so seine Daten preiszugeben. Um sich zu schützen, sollte man auf solche Links in E-Mails gar nicht erst klicken: Die Website der Bank lässt sich schließlich auch anders aufrufen. So fällt man nicht auf eine möglicherweise gefälschte Seite herein.

3. Vorsicht bei Apps: Über Smartphones oder Tablets gibt es weitere Angriffswege, bei denen Kriminelle online gefälschte Apps zur Verfügung stellen, die nur vermeintlich von der Bank stammen. Wer diese Apps installiert, spielt Schadsoftware auf, über die Angreifer ebenfalls an wichtige persönliche Daten gelangen können. Hier hilft es nur, darauf zu achten, die richtige App-Version zu erwischen. Dazu sollten Apps nicht über Drittseiten, sondern über die offiziellen App-Stores heruntergeladen werden.

4. Vorsicht vor Spähsoftware: Wie auch bei allen anderen Belangen am Rechner gilt auch fürs Onlinebanking: Halten Sie Ihren Computer möglichst aktuell, installieren Sie alle wichtigen Updates und führen Sie regelmäßig einen Virenscan durch. Das muss nicht helfen, kann aber.

5. Vorsicht bei der Wahl des TAN-Verfahrens: Die TAN per SMS aufs Handy zu bekommen, ist bequem und kostenlos - bietet allerdings auch gewisse Risiken. Als sicherer gilt bei Experten das Verfahren, bei dem die TAN mit Hilfe der EC-Karte auf einem eigenen kleinen Gerät erstellt wird (TAN-Generator). Allerdings kosten die Geräte oft Geld (meist einmalig zwischen 10 und 15 Euro), weshalb sich manche Kunden dagegen entscheiden. Auch finden es viele Menschen umständlich, ein eigenes Gerät für Überweisungen zu benutzen.

Mehr zu den einzelnen TAN-Verfahren lesen Sie hier:

Was sind TAN-Verfahren?
Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Onlinebanking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, in dem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.

Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Onlinebanking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.
Welche TAN-Verfahren sind in Deutschland im Einsatz?
Anfragen von Ende 2016 bei den elf wichtigsten Privatkundenbanken mit Girokonto-Angeboten zeigen: Alle großen Banken bieten ihren Kunden mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwendiger erscheinendes Verfahren drängt.

Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken.

Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz - wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.

iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr.
Welches Verfahren ist am beliebtesten?
Besonders populär ist hierzulande das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.

Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen.
Welche Verfahren gelten als sicher?
Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwendig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.

Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.

SPIEGEL ONLINE sagte er schon 2015: "Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.

In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Onlinebankings per Smartphone. TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro.
Was passiert, wenn die TAN-Absicherung versagt?
In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheitsgarantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung."
Setzen sich bald biometrische TAN-Verfahren durch?
In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

6. Vorsicht beim Überweisen: Welches TAN-Verfahren man auch nutzt - schiefgehen kann wohl immer etwas. Nicht ohne Grund muss man auch auf einem TAN-Generator noch einmal bestätigen, an welche Kontonummer welcher Betrag überwiesen werden soll.

Wie bequem das Onlinebanking bei Ihrer Bank also auch sein mag: Eine Transaktion sollte Ihnen immer ein paar Minuten Ihrer Konzentration wert sein. Ein unbedachter Klick, eine fahrige Bestätigung ohne Gegencheck könnte jedenfalls ein Einfallstor für Angriffe sein. Es machte sogar schon ein Fall Schlagzeilen, in dem eine Kundin auf einem Schaden sitzen blieb, weil sie offenbar den abgefragten Informationen beim Überweisen nicht genug Beachtung geschenkt hatte.



© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.