In den letzten Wochen wurden elf Fälle bekannt, wo Konten mithilfe des mTAN-Verfahrens leer geräumt wurden. Bislang galt das mTAN-Verfahren als absolut sicher. Das Verfahren ist für den Kunden simpel aber relativ effektiv. Beim Online-Banking schickt die Bank nach Einreichung einer Transaktion eine SMS an den Kunden, die die gültige TAN überträgt. Nach Eingabe der korrekten TAN kann die Transaktion online abgeschlossen werden.
Kaspersky Lab gab heute bekannt, zwischen September 2012 und August 2013 wurden insgesamt 14,1 Millionen Angriffe über Java-Schwachstellen ausgeführt. Das waren 33 Prozent mehr als im Vorjahr. Warum Java? Einerseits weil es jeder nutzt. Andererseits vergessen viele Anwender die alten und somit angreifbaren Java-Versionen durch Updates zu ersetzen.
Auch bei mehreren Betrugsfällen wurde die Spionage mit Hilfe von Schadsoftware durchgeführt, ob dabei Java eine Rolle spielte ist nicht bekannt. Mit einer Infektion des Betriebssystems durch Schadsoftware gelang man an die Login-Details für das Online-Banking. Anschließend ließen die Kriminellen die Anrufe und Kurznachrichten des Betroffenen auf ein eigenes Handy umleiten. So kam man in Besitz der TAN-Nummern.
Telekom reagierte auf Betrugsfälle
Bei der Deutschen Telekom werden SIM-Karten ab sofort nur noch an eingetragene Kundenadressen verschickt. Im Shop muss sich zudem jeder Käufer neuer SIM-Karten ausweisen. Bei einem Antrag auf eine Multi-SIM, die gleichzeitig in mehreren Mobiltelefonen eingesetzt werden kann, erhält der Kunde eine Nachricht an seine ursprüngliche Handynummer. Mehrere von den Betrugsfällen betroffene SIM-Karten waren von der Telekom. Dies dürfte jetzt nicht mehr passieren.
Für die Bankwirtschaft stellen die elf Betrugsfälle im ganzen Bundesgebiet einen herben Rückschlag dar. Zahlreiche Kreditinstitute führten das mTAN-Verfahren im Jahr 2011 ein, weil es mit den gedruckten Tan-Listen immer wieder zu Sicherheitsproblemen kam.
Ist das mTAN-Verfahren unsicher?
Nicht zwingend. Die Kombination aus Identitätsdiebstahl durch Umleitung der SMS und dem Onlinebanking-Betrug durch Schadsoftware ist recht umständlich. Völlig sicher ist das Verfahren aber nicht. Datenschützer raten zum Einsatz von Tan-Generatoren. Bei diesen Geräten gab es bisher keine Betrugsfälle. Auch das HBCI-Verfahren gilt derzeit als unknackbar.
Wichtig im Kampf gegen Cyberkriminelle ist und bleibt eine aktuelle Version des Betriebssystems, regelmäßige Updates von Java, Flash & Co. und last, but not least der Einsatz von Antiviren-Programmen, die man ebenfalls ständig aktualisieren muss.
2 Gedanken zu „mTAN-Verfahren unsicher?“