Seit gestern berichten Spiegel Online und andere Medien von einer neuen Serie von Betrugsfällen beim Online-Banking per mTAN. Mit dem mTAN-Verfahren (auch „mobileTAN“ oder „smsTAN“ genannt) verschickt die Bank nach Aufforderung durch den Anwender bei jeder Überweisung eine „mobile TAN“ per SMS an die vorher registrierte Mobilfunknummer des Kunden. Das soll komfortabel und gleichzeitig sicher sein, weil unterschiedliche Übertragungswege eingesetzt werden und es für Kriminelle schwerer sein dürfte, Zugang zu beiden Dingen (Mobilfunknummer und Bank-Zugangsdaten) zu erlangen.
Soweit die Theorie.
Tatsächlich ist das mTAN-Verfahren nicht besonders sicher. Die meisten Attacken finden heute über Keylogger und Trojaner auf dem PC des Opfers statt. So werden gleichzeitig die Zugangsdaten für den Mobilfunkanbieter und die Zugangsdaten fürs Online-Banking des Opfers ausgespäht. Es häufen sich die Fälle, in denen Kriminelle sich einfach mit den geklauten Daten im Namen des Opfers beim Mobilfunkanbieter eine neue SIM-Karte bestellt haben, um die mTANs abzufangen und hohe Beträge von den Konten zu entwenden.
Warnung vor der Verwendung des mTAN Verfahrens
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit 2011 ausdrücklich vor der Verwendung des mTAN-Verfahrens: “Beachten Sie aber, dass dieser Sicherheitsvorteil beim Online-Banking mit dem Smartphone nicht gegeben ist – hier ist das mTAN-Verfahren nicht zu empfehlen.”
Trügerische Sicherheit
Interessant ist, dass die Bank sich beim mTAN-Verfahren im Prinzip auf die Sicherheit verlässt, die ein eigentlich unbeteiligter Dritter hergestellt haben soll – der Mobilfunkanbieter. Genauer: Die Bank verlässt sich darauf, dass eine SMS an eine Mobilfunknummer, die ihr Kunde irgendwann mal bei ihr registriert hat, auch heute noch ausschließlich bei diesem Kunden ankommt. Und dafür soll bitteschön der Mobilfunkanbieter sorgen. Das ist eine Sicherheit, die bei realistischer Betrachtung so gar nicht gegeben ist. Beispiele: Jeder Provider hat ein anderes Verfahren zum Bestellen einer Ersatz-SIM-Karte – manchmal genügt eine einfache E-Mail oder ein kurzer Anruf. Ein zusätzliches Risiko ist die mittlerweile vereinfachte und beschleunigte Rufnummernmitnahme. Und in modernen Netzen – wie dem neuen sipgate Core-Netz von simquadrat – ist eine SIM-Karte von Haus aus gar nicht mehr fest mit einer Mobilfunknummer verbunden. Sie lässt sich sogar durch den Nutzer selbst direkt online austauschen.
Ein weiteres Angriffsszenario hat der Chaos Computer Club auf der 31C3 im vergangenen Jahr vorgestellt: Damals wurde nachgewiesen, dass das zum Transport der SMS von einem zum anderen Netz genutzte SS7-Netz angreifbar ist.
Fazit
Nein, mTANs sind wirklich nicht “sicher”. Mit genügend krimineller Energie ist es sogar relativ einfach, mTANs abzufangen, wenn man bereits Zugang zum Rechner des Opfers hat. Wie man sich schützen kann? Den eigenen Rechner möglichst gut vor Schadsoftware zu schützen ist ein guter Anfang. Dabei helfen Virenscanner, eine aktuelle Firewall-Software und das regelmäßige Installieren von Updates für Programme und das Betriebssystem. Die gleiche Sorgfalt sollte man auch bei seinem Smartphone an den Tag legen und regelmäßig Updates installieren. Noch sinnvoller ist es allerdings, das mTAN Verfahren gar nicht mehr zu benutzen und zu einer Bank zu wechseln, die ein sinnvolles Sicherheitsmerkmal einsetzt. Beim PhotoTAN-Verfahren etwa wird die TAN direkt vom Mobiltelefon des Nutzers berechnet, ohne dass die Information zwischen der Bank und dem berechtigten Kunden von einem unberechtigten Kriminellen abgefangen werden kann. Ähnliches leisten Verfahren, bei denen ein Zusatzgerät (“TAN-Generator”) die TAN mit Hilfe der von der Bank ausgegebenen Chipkarte berechnet.
Seit 1976 das TAN-Verfahren von der damaligen Verbraucherbank eingeführt wurde, wurden die Sicherheitsmechanismen von den Banken immer weiter verfeinert. Kaum noch jemand würde heute noch auf den Gedanken kommen, die Urform des TAN-Verfahrens für das Online-Banking zu nutzen. Doch egal ob TAN, iTAN oder mTAN – alle Systeme wurden im Laufe der Zeit von Kriminellen gehackt. Daher gilt beim Online-Banking der dringende Ratschlag, dass man sich von älteren, liebgewonnenen Sicherheitsmechanismen trennen und neue Lösungen akzeptieren können muss. Nur so lässt sich der Eintritt des Schadensfalls effektiv unterbinden.
11 Kommentare
Bebbi:
Jetzt bin ich vom Tan-Generator umgestiegen vor Jahren und soll wieder zurück wechseln? Glaub ich wechsel wieder zu Papierüberweisungen.
Das Smartphone darf man doch eh nicht für’s Online-Banking nutzen. Oder geht es euch um den Empfang der SMS? Und ist das Problem das gleiche, wenn man ein normales Handy nutzt?
Die Frage, ob das bei Sipgate auch so leicht geht, eine neue SIM-Karte zu bestellen als Krimineller, hätte in dem Artikel beantwortet werden sollen der Vollständigkeit halber.
Bäz:
Hallo Bebbi,
es kommt auf den Weg an, den die Kriminellen zur Attacke verwenden. Die Beispiele habe ich ja aufgelistet. Aber, ja: Streng genommen ist der Empfang einer mTAN auf egal welchem Telefon und mit egal welchem Provider ein Sicherheitsrisiko beim Online-Banking. Weshalb ich nur davon abraten kann, das mTAN Verfahren zu benutzen.
Wie man bei simquadrat eine Ersatz-SIM bekommt? Als Kunde einfach einloggen und per Klick bestellen. Wir versenden nur an die hinterlegte Kundenadresse. Und die neue SIM-Karte muss dann nochmal zur Bestätigung im Account registriert werden. Erst dann werden die Anrufe und SMS auf die SIM-Karte geleitet. Das mag schon deutlich sicherer als bei den in der Presse genannten Providern sein – aber eine hundertprozentige Sicherheit gibt es eben nicht.
Geheimrat:
Interessant und wichtig für uns Internutzer die wir auch Online Banking nutzen. Vielen Dank für den informativen Artikel. Ich finde es gut, dass ihr darüber informiert. Ich weis gar nicht mehr seit wann ich Online Banking nutze. Das Internet, zuerst mit ISDN als Internetzugang, danach DSL 1000? Zugang, nutze ich sicher bereits mehr als 20 Jahre. Mit Online Banking habe ich vielleicht zwei Jahre später begonnen, aber genau weiß ich das nicht mehr.
Anno von nymus:
Ist doch alles kein Problem, da bei sipgate mTAN-SMS – je nach Bank – eh nicht ankommen.
Fabio:
Probleme mit SMS hatte ich bei Simquadrat auch schon … allerdings glücklicherweise nie mit denen von meiner Bank. Außerdem: Was ist eigentlich aus dem schönen und nützlichen und kostenlosen Feature Empfangsbestätigung geworden?
Bebbi:
Also ihr würdet soetwas hier empfehlen?
https://mkt.gad.de/content/dam/g1001-0/e-spots/ab1203/smarttanoptik/sm@rtTANoptic_2011_1_5_590x331px.swf
Bebbi:
Und wie sieht es mit SRTP oder anderen Verschlüsselungen bei euch aus, wo wir über Sicherheit hier reden? Immerhin hat der Berliner Beauftragter für Datenschutz und Informationsfreiheit schon vor 10 Jahren die Nutzung empfohlen. http://www.datenschutz-berlin.de/content/themen-a-z/voip/der-datenschutz-bei-voip
Geheimrat:
Ist bei Sipgate Sprachverschlüsselung SRTP/TLS geplant? Die Sprach-Verschlüsselung mit Sipgate VPN ist aber möglich oder? Ich bin lediglich ein interessierter Laie, der Sipgate nutzt, sowie eine Simquadrat Sim Karte hat.
Bebbi:
Also richtig sicher ist das von euch vorgeschlagene Verfahren nicht: https://www.youtube.com/watch?v=REXXcSIw3Uo
EpsilonAlpha:
Das Problem sind einfach schon mal die Banken selbst die einfach nicht mit der Zeit gehen was ihr Strukturen und Abläufe angeht. Wundert es dann wirklich das sie auch im Punkt Sicherheit hinter her hinken?
Es gehört sich eine ordentliche 2FA hinterlegt mit einem Authenticator bspw dem von Google oder anderen die auf diesem Prinzip basieren. Aber was machen die Banken oder auch Paypal? Setzen auf ein Abfall Produkt aus dem Mobilfunknetz also Sicherheitsmerkmale. Oder man will gleich den Kunden abkassieren mit Hardware Geräten die man dem Kunde auf’s Auge drücken will für Geld natürlich.
Von der Versendung der Karten und PIN über den gleichen Weg will ich noch nicht mal anfangen…