News : Online Banking mit mTan-Verfahren nicht absolut sicher

, 180 Kommentare

Das mTan-Verfahren der deutschen Banken gilt gemeinhin als sicher. Trotzdem wurden jetzt mehrere Fälle bekannt, bei denen Kriminelle sich Zugriff auf solchermaßen geschützte Konten verschaffen konnten. Mehr Sicherheit für den Bankkunden wäre hier mit wenig Aufwand durchaus machbar.

Beim mTan-Verfahren wird, wenn der Kunde eine Überweisung tätigt, nicht wie früher eine Transaktionsnummer (TAN) von einer Liste verwendet, sondern eine zeitnah generierte und nur für diese Transaktion gültige TAN per SMS auf ein angegebenes Mobiltelefon übermittelt. Sofern für Überweisung und TAN-Empfang nicht das gleiche Gerät verwendet wird, gilt diese Methode gemeinhin als sicher.

Dennoch schaffen es Kriminelle, die Sicherheitsvorkehrungen zu überwinden – zwar mit hohem Aufwand, aber auch hohem Gewinn. Dazu benötigen die Täter zuerst die PIN des jeweiligen Kontos, die vermutlich durch den Einsatz eines Trojaners oder durch Phishing in ihren Besitz gelangt. Weiterhin müssen sie die Mobilfunk- und Kundennummern des Opfers erlangen. Weist ein Konto ein hohes Guthaben und einen weiten Verfügungsrahmen auf, lohnt sich für die Täter der erhöhte Aufwand für den Zugriff.

Dazu bestellen sich die Täter beim entsprechenden Mobilfunkanbieter eine zusätzliche SIM-Karte für das Mobilfunkkonto des Opfers und lassen diese an eine abweichende Adresse liefern. Nun wird die Multi-SIM so konfiguriert, dass SMS auf der Zweitkarte der Täter landen. Somit gelangen sie in die volle Kontrolle des Girokontos und können auf sämtliche Geldbestände des Opfers zugreifen, um diese dann ins Ausland zu transferieren. Noch nicht genug gestraft, muss der Kunde dann bei seiner Bank erfahren, dass diese unter Verweis auf die Sicherheit des mTan-Verfahrens nicht zu haften gewillt ist.

Die größte Schwachstelle liegt hier bei den Mobilfunkanbietern, die zu sorglos weitere SIM-Karten versenden. Wenn eine Überprüfung der Unterschrift stattfinden und die zusätzliche Karte nur an die ursprünglich hinterlegte Adresse versendet würde, wäre der Sicherheit gedient. Aber auch die Banken können noch nachbessern: Oft steht die für das mTAN-Verfahren hinterlegte Rufnummer unnötigerweise vollständig lesbar im Frontend der Online-Banking-Software.