Unsichere Mobile TAN: Hacker räumen Konten ab

Einzelfälle oder ein generelles Problem beim Online Banking? Experten warnen vor Hackerangriffen auf per SMS zugestellte TAN. Bankenwirtschaft und Mobilfunkunternehmen wiegeln ab.

Medienberichte, wonach die beim Online Banking verschickten SMS mit einer einmaligen Transaktionsnummer von Hackern abgefangen werden können, verunsichern derzeit Bankkunden. Aktueller Anlass: Kunden des Mobilfunkanbieters O2/Telefonica wurden Opfer solcher Hackerangriffe. Dies nahmen Sicherheitsexperten zum Anlass, Bankkunden vor dem Mobile–TAN–Verfahren zu warnen. Sie empfehlen stattdessen den Einsatz so genannter TAN–Generatoren wie sie einige Sparkassen verwenden. Beim Online–Banking kommt ein solcher Generator zum Einsatz, der einen auf dem Display erscheinenden Strichcode optisch erkennt und daraus eine einmalige TAN erzeugt. Nachteil: Man braucht ein weiteres Stück Hardware beim Online–Banking.

Wie aber ist es möglich, dass Hacker beim mobile–TAN–Verfahren in den Besitz der TAN kommen und anschlie ßend das zugehörige Konto abräumen? Um die SMS mit dem One–Time–Passwort (OTP) für eine Online–Ueberweisung abzufangen, nutzten die Hacker eine bekannte Sicherheitslücke im sogenannten Signalling System 7–Netzwerk der Mobilfunkanbieter. Die Schwachstelle ist bereits länger bekannt, abgestellt ist sie offenbar bei einigen Netzbetreibern noch nicht. Die weiteren notwendigen Angaben wie Kontonummer, Passwort und Handynummer hatten sie sich zuvor mit einer Phishing–Mail besorgt, bei der sie beim Bankkunden den Eindruck erweckten, er übertrage seine Daten an sein Finanzinstitut. Hacker konnten sich mit diesen Angaben problemlos und unbemerkt in die Konten der Besitzer einloggen und jede beliebige Geld–Transaktion auf Konten ihrer Wahl veranlassen.

Nach Bekanntgabe der Vorfälle gingen die Netzbetreiber Deutsche Telekom und Vodafone in die Offensive. Beide Carrier betonten, die entsprechende Sicherheitslücke in ihren SS7–Netzwerken geschlossen zu haben. Der Verband Deutsche Kreditwirtschaft (DK) spricht von Einzelfällen. Die mobile TAN sei ein technisch sicheres Legitimationsverfahren, zitierte das Handelsblatt einen Sprecher. In jedem Fall sollten Computernutzer diese Fälle zum Anlass nehmen und ihre IT–Sicherheitssoftware auf Funktionsfähigkeit überprüfen. Grundsätzlich gilt: Mails unbekannter Absender mit Anhängen sollte man eher nicht öffnen. Hacker tarnen ihre Spam–Mails meist als Gewinnspiel, Rechnung oder angebliche Post von Banken oder Online–Shops. Günstige Antivirensoftware zum sofortigen Download.

Bildquelle: Commerzbank

Die mit einem * markierten Felder sind Pflichtfelder.