Hacker greifen das mTAN-Verfahren an – Ist Onlinebanking noch sicher?

Viren und Trojaner setzen Computernutzern ganz schön zu. Je nachdem, welche Schadsoftware man sich eingefangen hat, ist der Rechner noch funktionsfähig oder aber vollständig ausgeschaltet. Zu den besorgniserregendsten Momenten, in denen der Rechner die Meldung „Virenbefall“ geben kann, zählt das Onlinebanking.

Hierbei werden die Log-in-Daten des Nutzers und die TAN-Nummern, mit denen man Transaktionen bestätigt, über das Internet verschickt. Es liegt auf der Hand, dass der unbefugte Zugriff auf die Daten durch Hacker dem Nutzer grossen Schaden zufügen kann. Im schlimmsten Fall können sich die Eindringlinge quasi per Knopfdruck des Bankkontos bemächtigen. Per Überweisung transferieren die Hacker Geld auf ein Fremdkonto, dessen Besitzer nicht – zumindest nicht auf den ersten Blick – ausfindig gemacht werden kann. Insbesondere in letzter Zeit haben Hacker bereits mehrfach erfolgreich das mTAN-Verfahren angegriffen. Onlinebanking-Kunden im deutschsprachigen Raum sind verunsichert.

Nutzen und Gefahren des mTAN-Verfahrens

Viele Banken in der Schweiz, Deutschland, Österreich und weiteren Ländern setzen das mTAN-Verfahren ein. Das Prinzip ist einfach. Will der Kunde online eine Überweisung auslösen, fordert er bei der Bank eine Transaktionsnummer (TAN) an, die ihm dann auf sein Smart- oder Mobilphone geschickt wird. Verwendet der Kunde nun diese Nummer, wird die Überweisung ausgelöst. Jede TAN kann nur ein einziges Mal genutzt werden – dies gilt auch für Hacker! Anders als man vermuten könnte, liegt die Gefahr aber nicht nur darin, dass Hacker mittels Überweisung das Bankkonto in Windeseile um einige Tausend Franken erleichtern können. Eine weitere Schwierigkeit liegt vielmehr darin, dass zusammen mit der finanziellen Transaktion weitere Kundendaten übermittelt werden, die die Hacker versuchen abzugreifen.

Um prüfen zu können, ob die TAN auch wirklich zu dem Kunden gehört, der das Geschäft tätigt, sind der Nummer unterschiedliche Kenngrössen eingeschrieben. Nun sind Hacker unter Umständen in der Lage, mittels einer entsprechenden Schadsoftware genau jene Kenngrössen abzufangen. Hierdurch verschaffen sie sich Zugang zu weiteren Informationen des betreffenden Bankkontos. Wird das Onlinebanking via Smartphone durchgeführt, ist die Gefahr, Opfer eines Hackerangriffs zu werden, grundsätzlich grösser; und zwar vor allem, weil das Gerät, das für das Internetbanking genutzt wird und das Gerät der Eingabe der TAN identisch sind. Sobald sich der Unbefugte in das geschützte System eingeschmuggelt hat, ist es für ihn keine grosse Sache mehr, das Passwort des Kunden oder andere Daten abzufangen.


Der Geldtransfer via mTAN-Verfahren ist durch mehrere erfolgreiche Angriffe von Hackern in Verruf geraten. (Bild: wk1003mike / Shutterstock.com)


Das mTAN-Verfahren und sein grösster Übeltäter: der FakeToken

Durch einige erfolgreiche Angriffe der Hacker ist das Internetbanking in jüngster Zeit negativ in die Schlagzeilen geraten. Vor allem in der Schweiz und in Deutschland hat sich die Anzahl der gemeldeten Verdachtsfälle sehr gesteigert. Die Bedrohung ist der Trojaner FakeToken. Gelingt es dem Hacker, diesen Trojaner einzuschleusen, kann er ihn mit seiner Hilfe die per SMS verschickten Daten inklusive TAN ausspähen. Sobald die sogenannte Spyware auf dem Endgerät des Nutzers eingerichtet ist, transferiert sie die entscheidenden Daten, die für Transaktionen bei der Bank nötig sind, an den Hacker weiter. Für diesen ist es dann ein Leichtes, in den Onlinebanking-Zugang des Kunden aktive einzugreifen. So kann er zum Beispiel das Passwort sperren oder er mithilfe von Nutzername und Passwort nach eigenem Gusto schalten und walten.

Gelingt es Betrügern, auf ein im Internet geführtes Konto zuzugreifen, besteht die Möglichkeit, Geldüberträge auszuführen, die nicht mehr rückgängig gemacht werden können. Die wachsende Anzahl an E-Wallets (Onlinekonten), die statt mit Kontonummern durch E-Mailadressen oder andere Angaben bezeichnet sind, beflügeln dieses dreiste Vorgehen. Hat der Hacker die Zugangsdaten des Kontos ausgespäht, ist er in der Lage, zuzugreifen; hat er die Gelegenheit, die SMS, mit der die TAN übermittelt wird, einzusehen, kann er in wenigen Sekunden Überträge auf E-Wallets oder andere Bankkonten veranlassen. Werden die Kontobewegungen nur sporadisch eingesehen, erlebt der Betroffene durch FakeToken eine böse Überraschung. Das illegal überwiesene Geld ist ein für allemal verloren.

Hat man die Wahl, sollte man für einen TAN-Generator votieren

Seit Entdeckung des Schädlings FakeToken zu Beginn des Jahres raten viele Geldinstitute dazu, sich einen TAN-Generator anzuschaffen. Dabei handelt es sich um ein kleines Gerät, das in Verbindung mit der Bankkarte des Kontoinhabers eine TAN generiert, ohne dass eine Übermittlung per SMS notwendig ist. Der Wermutstropfen dabei ist, dass dieses Gerät vom Kunden bei seiner Hausbank erworben werden muss. Dafür ist es nicht mehr nötig, vertrauenswürdige Angaben per Internet zu übertragen und Kriminelle haben so keine Chance mehr.

Der Trojaner FakeToken, der ausschliesslich dafür eingesetzt wird, SMS abzupassen und deren Inhalte Hackern zur Verfügung zu stellen, kann prinzipiell alle Kunden treffen, die das mTAN-Verfahren anwenden. Daher ist für alle diese Kunden, die Umstellung auf einen TAN-Generator empfehlenswert. Auch wenn das Bankkonto unterschiedliche Arten der TAN-Ermittlung gestattet, ist der Gebrauch des Generators den mobilen Telefongeräten vorzuziehen. Zwar ist nicht auszuschliessen – Experten prognostizieren es bereits –, dass in einigen Jahren oder vielleicht auch Monaten genügend kriminelle Energie vorhanden sein wird, um die TAN-Generatoren zu hacken. Dennoch gibt es zum jetzigen Zeitpunkt noch keine Anzeichen für einen bevorstehenden erfolgreichen Angriff auf den TAN-Generator, was diesen vorläufig zum unbedenklichsten TAN-Erzeuger kürt.



Neue Technologien bieten mehr Schutz beim Internetbanking

Wer kennt sie nicht, die unspektakulär, meist auf Recyclingpapier daherkommenden langen Listen mit TANs, die in der ersten Phase des Onlinebankings das gängige Verfahren zur Durchführung von Bankgeschäften, in der Regel Überweisungen, waren. Die Übermittlung von TANs auf Abruf ist im Unterschied dazu ein deutlich moderneres Verfahren, das – und dies ist wichtig – auch einen höheren Sicherheitsstandard aufweist. Gleichwohl ist aber auch dieses System in letzter Zeit verstärkt zur Angriffsfläche von Hackern geworden. Dennoch dürften auch auf absehbare Zeit hin TAN-Generatoren die von den meisten Banken an ihre Kunden weitergegebene Technologie zum Onlinebanking sein. Nicht zuletzt ist damit zu rechnen, dass der technische Fortschritt bestehende Sicherheitslücken im System schliessen wird. Bis dahin – und bei allem Optimismus und technischen Neuerungen letztlich auch über diesen Zeitpunkt hinaus – ist jeder Nutzer gut beraten, beim Onlinebanking stets aufmerksam zu sein. Die aktuellen Berichte über Trojaner sind ernst zu nehmen.

 

Oberstes Bild: Ist Onlinebanking noch sicher? (© Aleksandra Gigowska / Shutterstock.com)

author-profile-picture-150x150

Mehr zu Meik Peters

Ich bin freier Künstler, Journalist, Sprecher und Mathematiker. Über die jahrelange Arbeit als Texter bin ich mit diversen Interessengebieten und Themenbereichen in Kontakt gekommen und bearbeite diese mit grosser Freude.

website-24x24
jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});