Unsicher

Mobile Banking: Betrugsfälle bei mTAN-Verfahren häufen sich

Bankkunden sollten über sicherere Alternativen nachdenken
Von

Mobile Banking: Betrugsfälle bei mTAN-Verfahren häufen sich Mobile Banking: Betrugsfälle bei mTAN-Verfahren häufen sich
Bild: A.Z. - Fotolia.com, Falko Matte - Fotolia.com, teltarif.de In den vergangenen Wochen häufen sich Berichte darüber, dass Online-Banking-Kunden über das mTan-Verfahren um teils höhere Geldbeträge betrogen werden. Obwohl das eine gewisse kriminelle Energie voraussetzt, sollten Banking-Kunden über sicherere Alternativen nachdenken.

Das reguläre PIN/TAN-Verfahren mit einer auf Papier ausgedruckten TAN-Liste ist bei den meisten Banken und Sparkassen zu Recht ausgestorben, weil es zu unsicher und zu unflexibel war. Gelangte ein Dieb einmal an die Konto-PIN und die gedruckte TAN-Liste, konnte er nach Belieben Geldtransaktionen durchführen. Außerdem war das Verfahren kaum mobil nutzbar, es sei denn man trug die TAN-Liste bei sich oder speicherte einzelne TANs auf dem Handy, was beides einer wandelnden Sicherheitslücke gleichkam. Außerdem ließen sich viele Bankkunden per Phishing austricksen.

mTAN-Verfahren zu unsicher und damit Auslaufmodell

Mobile Banking: Betrugsfälle bei mTAN-Verfahren häufen sich Mobile Banking: Betrugsfälle bei mTAN-Verfahren häufen sich
Bild: A.Z. - Fotolia.com, Falko Matte - Fotolia.com, teltarif.de Doch das deutlich flexiblere und bei seiner Einführung als "sicher" angepriesene mTAN-Verfahren lässt sich nun auch mit einem gewissen Aufwand umgehen. Zuerst müssen die Angreifer einen Schädling auf dem Rechner des Opfers platzieren, was bei einem schlecht abgesicherten Computer kein unüberwindbares Problem darstellt. Bei den in den vergangenen Wochen aufgetretenen Fällen spionierten die Angreifer die Zugangsdaten für das Online-Banking sowie die Kundendaten des Handy-Vertrags aus - und das reicht für den Betrug.

Allerdings muss der Betrüger an dieser Stelle entweder mit der Bank oder mit dem Mobilfunk-Provider Kontakt aufnehmen. Viele Banken sind mittlerweile darauf sensibilisiert, dass sie misstrauisch werden, wenn ein Kunde per Anruf mitteilt, dass sich seine Handynummer für die Zustellung der TAN-Nummern per SMS geändert hat. Fragt die Bank beim Konto-Inhaber diesbezüglich nach oder verlangt eine handschriftliche Unterschrift, sollte sich der Betrug verhindern lassen.

Darum gehen die Angreifer mittlerweile der Weg über den Mobilfunkprovider und bestellen dort eine neue SIM-Karte oder eine Multi-SIM, die sie dann an ihre eigene Adresse versenden lassen. Und hier waren wohl einige Provider so unvorsichtig, dies ohne einen Blick in die Kundendaten des Accounts zu tun, denn dann hätte auffallen müssen, dass die Zustelladresse sich von der Vertragsadresse unterscheidet. Dies sollte ebenfalls eine direkte Nachfrage beim Kunden auslösen.

In einigen Fällen hatten die Betrüger über diese Masche ganze Konten mit bis zu 200 000 Euro abgeräumt und damit bei den Betroffenen nicht nur Ärger, sondern echte Existenzprobleme verursacht. In einigen Fällen zeigten sich die Banken kulant und erstatteten das Geld innerhalb kürzester Zeit auf das Konto, in anderen Fällen dauerte dies länger.

Alternative Mobile-Banking-Verfahren und Selbstschutz

Wichtig ist für Online-Banking-Kunden in jedem Fall, den eigenen Windows-PC stets per Windows-Update auf dem neuesten Stand zu halten und eine aktuelle Sicherheitssoftware installiert zu haben. Außerdem sollten Verbraucher öfters als einmal pro Monat die eigenen Kontobewegungen checken und bei nicht selbst ausgelösten Buchungen sofort die Bank verständigen. Dies schreiben auch die AGBs der meisten Banken zwingend vor.

Prinzipiell gibt es seit Jahren Mobile-Banking-Verfahren, die als sicherer gelten. Das HBCI-Verfahren mit einem am Rechner angeschlossenen Chip-Kartenleser ist zwar schon älter, gilt aber als praktisch unknackbar, wenn die TAN-Eingabe über ein Tastenfeld auf dem Chipkartenleser erfolgt und nicht über die PC-Tastatur. Allerdings ist dieses Verfahren nur schlecht mobil nutzbar: Mit einem Notebook oder Windows-Tablet mit USB-Port geht es, aber nicht auf Smartphones und Android-Tablets.

Die beste "Mischung" aus Praktikabilität, Sicherheit und Mobilität bietet das ChipTAN-Verfahren mit einem mobilen Kartenleser und EC-/Maestro-Karte. Hier wird während des Überweisungsvorgangs ein blinkender Flicker-Code vom Monitor mit dem Kartenleser optisch gescannt; dieser generiert darauf eine TAN, die online eingegeben wird. Bei diesem Verfahren gibt es nur eine theoretische Angriffsmöglichkeit bei Sammelüberweisungen, konkrete Missbrauchsfälle sind bisher nicht bekannt geworden.

Bietet die Bank ausschließlich das mTAN-Verfahren per SMS an, sollten Kunden nicht zögern, die Bank auf das Sicherheitsrisiko anzusprechen. Viele mTAN-Kunden umgehen das Problem ausgespähter TANs auf dem Smartphone dadurch, dass sie dafür eine separate SIM-Karte und kein Smartphone, sondern ein Billig-Handy ohne Internet-Zugang und modernes Betriebssystem verwenden. Der oben geschilderte Betrugsvorgang lässt sich allerdings nur dann einschränken, wenn der Kunde beim Mobilfunkprovider kein Online-Kundenkonto einrichtet. Bei einem reinen Online-Distributor ist dieser Weg zwar nicht möglich, der Anwender kann für die mTAN-Zustellung aber beispielsweise eine SIM-Karte im Supermarkt oder im Laden eines Netzbetreibers kaufen und für diese eben kein Online-Kundenkonto einrichten.

Mehr zum Thema Online-Banking