Angriffe auf das Online-Banking-Verfahren SMS-TAN nehmen zu
Digitaler Diebstahl ist keine Seltenheit mehr. Über 180.000 Euro wurden einem 60-jährigen Hamburger von seinem Konto gestohlen, bei einer Logopädin aus Wangen im Allgäu waren es über 70.000 Euro und bei einem 44-jährigen aus Emden 125.000 Euro und die Liste der Opfer lässt sich fast unendlich weiterführen.
Das Erschreckende: In einigen Fällen buchen die Kriminellen zuerst Geld vom Festgeldkonto, vom Tagesgeldkonto und vom Sparbuch auf das Girokonto, bevor sie zuschlagen. Der dadurch entstandene Schaden war ungleich höher, als wenn nur die Girokonten betroffen gewesen wären.
Anzeige
Die bestohlenen Bankkunden verwendeten zum Online-Banking das eigentlich als sicher geltende SMS-TAN Verfahren. Es stellt sich also die Frage: Wie sicher ist das SMS-TAN Verfahren tatsächlich?
Der Verein Sicherheit im Internet e. V. hat mit Götz Schartner, einem der führenden IT-Sicherheitsexperten, gesprochen. Schartner ist professioneller Hacker, Gründer und Geschäftsführer der IT-Sicherheitsfirma 8com sowie Buchautor. Mit seinem Team prüft und berät er weltweit Unternehmen und Behörden. Seit Jahren hält er Vorträge zum Thema Internetkriminalität sowie Online-Banking-Sicherheit und führt dabei spannende LIVE-Hacking-Attacken vor. Im September hat er nun das Buch "Tatort WWW" veröffentlicht, in dem er nicht nur reale Fälle aus der Praxis schildert, sondern auch zeigt, wie man sich vor Cyberkriminellen schützen kann.
Sicherheit im Internet e. V.: Herr Schartner, bisher galt das SMS-TAN Verfahren im Online-Banking als sicher. Waren das die ersten Schäden?
Götz Schartner: Nein, Schäden gab es schon früher. Besonders im Jahr 2012 wurde eine Serie von Online-Banking-Betrügereien unter dem Namen "Eurograbber" bekannt. Innerhalb weniger Monate haben Kriminelle in vier europäischen Ländern über 36 Millionen Euro durch manipulierte SMS-TAN Überweisungen gestohlen. Davon allein über 12 Millionen Euro in Deutschland. Die einzelnen Schadensfälle beliefen sich auf Beträge zwischen 500 und 250.000 Euro.
Sicherheit im Internet e. V.: Also ist das SMS-TAN Verfahren unsicher?
Götz Schartner: Das würde ich so nicht sagen. Prinzipiell bietet das SMS-TAN Verfahren einen recht hohen Sicherheitsstandard. Allerdings gibt es wie bei jedem technischen Verfahren Möglichkeiten, die Sicherheitsfunktionen zu umgehen.
Sicherheit im Internet e. V.: Das geht bei jedem Verfahren? Angeblich sollen das Verfahren HBCI mit Chipkarte oder das EBICS-Verfahren doch sicher sein.
Götz Schartner: Wir haben schon vor einigen Jahren auf Banktagungen live demonstriert, wie wir das Verfahren HBCI mit Chipkarte und EBICS manipulieren können. Im letzten Jahr wurde beispielsweise eine Online-Banking-Betrugswelle namens "Operation High Roller" entdeckt. Bei dieser wurden auch Chipkarten basierte Verfahren umgangen und Beträge von einigen hundert bis zu einigen Millionen Euro gestohlen.
Sicherheit im Internet e. V.: Investieren die Banken zu wenig in Sicherheit?
Götz Schartner: Nein, die meisten deutschen Kreditinstitute unternehmen sehr viel und bekämpfen die Betrügereien auf vielfältige Art und Weise. Aber es ist fast unmöglich ein Online-Banking-Verfahren zu entwickeln, das alle Fehler des Benutzers ausbügeln kann. Das Einzige, was einigen Banken vorgeworfen werden kann, ist, dass zu wenig über die Sicherheitslücken und möglichen Schutzmaßnahmen aufgeklärt wird.
Sicherheit im Internet e. V.: Wie meinen Sie das?
Götz Schartner: Nehmen Sie beispielsweise das SMS-TAN Verfahren. Damit das Verfahren verhältnismäßig sicher genutzt werden kann, müssen die Bankkunden Einiges beachten. Bei dem SMS-TAN Verfahren füllen Bankkunden im Online-Banking-System ihrer Bank einen Überweisungsträger aus. Dann bekommen die Kunden eine SMS zugesendet, in der die Kontonummer des Zahlungsempfängers, der Überweisungsbetrag und die TAN stehen. Der Kunde muss prüfen, ob Empfängerkontonummer und Betrag korrekt sind. Erst dann darf er die TAN verwenden. Die TAN ist nur für Überweisungen innerhalb weniger Minuten und nur für die Kontonummer und den Betrag gültig, der in der SMS steht. Viele Kunden wissen nicht, dass die Kontrolle der Zahlungsempfängerdaten in der SMS die eigentliche Sicherheit dieses Verfahrens ist. Wer nicht genau nachliest, kann schnell eine über den Computer manipulierte Überweisung bestätigen.
Sicherheit im Internet e. V.: Was könnte sonst noch manipuliert worden sein?
Götz Schartner: Die Hacker könnten beispielsweise auch das Handy des Bankkunden mit einem Trojaner versehen haben und so die SMS abfangen oder manipulieren. Seit Neuestem gehen die Kriminellen noch einen anderen Weg. Um die SMS mit der TAN abzufangen, bestellen die Kriminellen einfach im Namen des Opfers eine neue SIM-Karte mit gleicher Nummer bei dessen Mobilfunkanbieter und lassen sich diese beispielsweise an eine andere Adresse liefern. Damit erlischt die Sicherheit des SMS-TAN Verfahrens.
Hier müssten die Bankberater ansetzen und Kunden über solche Risiken aufklären. Aber welcher Bankberater erzählt das so seinen Kunden und gibt ggf. gleich eine adäquate Sicherheitsanleitung? Hier muss nachgebessert werden. Banken können nicht von ihren Kunden erwarten, dass diese Computersicherheitsspezialisten sind.
Sicherheit im Internet e. V.: Was muss ein Bankkunde alles beachten, um beim Online-Banking auf Nummer sicher zu gehen?
Götz Schartner: Als erstes muss er die Schwächen des von ihm genutzten Online-Banking-Verfahrens kennen. Unabhängig davon muss er seinen Computer fachgerecht absichern. Angefangen beim aktuellen Betriebssystem bis zur Installation von allen Software-Updates für das Betriebssystem sowie sämtlichen Anwendungsprogrammen wie beispielsweise Java. Dazu gehört ein professionelles Antiviren-Programm und eine Firewall. In meinem Buch "Tatort WWW" habe ich unter anderem detaillierte Schritt-für-Schritt-Anleitungen erstellt, wie Computernutzer ihre PCs sichern sollten und dazu die Stärken und Schwächen der jeweiligen Online-Banking-Verfahren erläutert.
Sicherheit im Internet e. V.: Also haben Sie einen Ratgeber für IT-Sicherheit geschrieben?
Götz Schartner: Nein, "Tatort WWW" ist kein reiner Ratgeber. Das Buch ist eine Mischung aus Truecrime-Kurzgeschichten und Sachbuch mit Sicherheitsanleitungen. Zwei Kriminalkurzgeschichten handeln von wahren Online-Banking-Betrugsfällen. Diese zeigen sowohl die Seite des Betrugsopfers als auch die des eigentlichen Hackers auf. Im Anschluss an dieses Kapitel stelle ich die verschiedenen Online-Banking-Verfahren und die dazugehörigen Sicherheitstipps vor.
Anzeige
Sicherheit im Internet e. V.: Nutzen Sie selbst Online-Banking und welches Online-Banking-Verfahren empfehlen Sie?
Götz Schartner: Selbstverständlich nutze ich Online-Banking. Persönlich empfehle ich das chipTAN-Verfahren, aber auch hierbei gibt es einige Sicherheitsanforderungen zu beachten. Wer es genau wissen will, kann seinen Bankberater fragen oder im Buch nachlesen.