Internetrecht

Erneute Warnung vor dem mTan Verfahren

Bereits im November vergangenen Jahres haben wir vor den Gefahren bei der Nutzung des mTan Verfahrens beim Online Banking gewarnt. Nun äußerte Christian Funk von der IT-Sicherheitsfirma Kaspersky gegenüber dem Spiegel, dass sich allein im ersten Quartal 2014 die Zahl der Smartphone Attacken mit dem geläufigsten Trojaner Faketoken im Vergleich fast versechsfacht hätten. Über manipulierte Handy-Apps könnten Internetdiebe mittlerweile auch Smartphones ausspionieren.

Experten raten zur Nutzung eines Tan Generators, um Online Überweisungen durchzuführen. Der Tan Generator gilt gegenüber dem m-Tan Verfahren als relativ sicher, da über das Gerät für jede Transaktion ein Schlüsselcode erstellt wird. Allerdings geht das BKA davon aus, dass es nur eine Frage der Zeit ist, bis auch dieses Verfahren nicht mehr vor Betrügern sicher sei. Verbraucher sollten sich unbedingt vor verdächtigen Apps oder Links in Acht nehmen. Die Phishing Mails oder SMS sind mittlerweile nicht mehr so leicht zu erkennen. „Die Schreiben sind oft speziell auf ein Bankinstitut oder auf den Kunden zugeschnitten, sagte Heiko Löhr, Referatsleiter Cyberkriminalität beim BKA, dem „Spiegel“.

Mehr Infos zu den Phishing Fällen im Rahmen des mTan Verfahrens in unserem Video:

 

mTan – Was ist das eigentlich?

Das TAN-Verfahren Mobile TAN (mTAN) oder smsTAN bezeichnet die Einbindung des Übertragungskanals SMS als Übertragungsweg der TAN-Nr. Dabei wird dem Online-Banking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Durch den SMS-Versand der TAN gilt mTAN als sicherer als das vorher verwendete iTAN- oder das klassische TAN-Verfahren. Aufgrund der begrenzten Gültigkeitsdauer sowie der zur nochmaligen Überprüfung übermittelten Ziel-Kontonummer und des Überweisungsbetrags in der SMS soll das mTAN-Verfahren vor ungewollten Überweisungsumleitungen auf ein anderes Konto durch einen „man-in-the-middle“-Angriff schützen. Solch ein „man-in-the-middle“-Angriff bezeichnet das Ansetzen des Betrügers in der Kommunikation zwischen Kunde und Bank. Einem Kunde, dessen Computer bspw. mit einem Trojaner infiziert ist, kann die Online-Banking Benutzeroberfläche in Echtzeit so manipuliert werden, dass der Zahlungsempfänger bei ausgehenden Überweisungen durch das Abfangen und Manipulieren des Informationsaustauschs zwischen Kunde und Bank durch den „Mann in der Mitte“ nach belieben geändert wird. Mit Hilfe des mTAN-Verfahrens, bei dem der Zahlungsempfänger innerhalb der SMS angezeigt wird, können aufmerksame Kunden diese Gefahr jedoch umgehen, indem sie überprüfen, ob der in der SMS übermittelte Zahlungsempfänger auch dem gewünschten Ziel entspricht.

Smartphones und mTAN – keine sichere Kombination

Problematisch wird es jedoch, wenn man das mTAN-Verfahren mit einem Smartphone benutzt. Smartphones funktionieren bekanntermaßen wie kleine Computer und sind daher ebenso anfällig für Schadprogramme, wie der heimische Computer selbst. Diese Erfahrung musste auch eine unserer Mandantin machen. Nachdem sie sich im April 2013 über den Firmenrechner in ihren Online-Banking-Account eingeloggt hat, erschien ein Fenster mit der Aufforderung, sich für das Online-Banking neu zu zertifizieren. Verlangt wurde ihre Handymarke, das Modell und ihre Handynummer. Daraufhin sollte sie eine SMS mit einem Link erhalten, unter dem sie das neue Zertifikat für ihr Mobiltelefon herunterladen und daraufhin installieren sollte. Wie von ihr verlangt, folgte unsere Mandantin den vermeintlich von der Bank stammenden Anweisungen und installierte das entsprechende Zertifikat auf ihrem Handy. Danach verschwand das vorher angezeigte Fenster und unsere Mandantin konnte nach einem erneuten Login keine Veränderung feststellen. Zwei Tage später erhielt sie einen Anruf der Postbank, dass das Dispolimit fast erreicht ist, über den genauen Saldo könne sie aber telefonisch nicht informiert werden. Sie erstattete sofort Anzeige und erfuhr daraufhin in einer Filiale ihrer Bank, dass ihr Tagesgeldkonto leer und der Dispo komplett ausgeschöpft ist. In 5.000 – 14.000 € Schritten wurden insgesamt rund 92.000 € auf fremde Konten überwiesen. Erfreulicherweise konnte die Kanzlei WBS nach Kontakt mit der Bank noch im selben Monat eine Rückbuchung des vollen Betrags erreichen.

Es ist anzunehmen, dass der von unserer Mandantin verwendete Firmenrechner mit einem Trojaner infiziert war, der es dem Betrüger ermöglichte, die Aufforderung zur Zertifizierung einzubinden. Mit der Installation des Zertifikats auf ihrem Mobiltelefon installierte sich unsere Mandantin in Wirklichkeit eine Schadsoftware, mit der die eingehenden SMS unmittelbar an den Betrüger weitergeleitet und auf ihrem Handy nicht angezeigt wurden. So war es dem Betrüger möglich, mittels der durch den Trojaner bekannten Online-Banking-Zugangsdaten und des mit Schadsoftware kompromittierten und für das mTAN-Verfahren aktivierte Smartphone beliebige Überweisungen auszuführen.

Fazit:

Wer auf Nummer sicher gehen will, sollte das mTAN-Verfahren am besten nur mit einem alten Mobiltelefon verwenden, welches weder fähig ist, Drittprogramme zu installieren, noch generell auf das Internet zugreifen kann. Nur so kann sich ein mTAN-Nutzer vor dem Abfangen der mTAN-SMS durch Betrüger schützen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (1)

Kommentar schreiben | Trackback URL

  1. Wolfgang Marion sagt:

    Sehr geehrte Mitarbeiter,

    das m-TAN Verfahren sollte man eher nicht mehr benutzen, da hier auch der Provider eine gewisse Schwachstelle darstellt und schon mal leichtfertig Zweit-Simkarten in unbefugte Hände herausgibt, womit die m-TAN Sicherheit auch bei nicht internetfähigen Handy`s ausgehebelt wird.
    Chiptan dürfte bei sorgfältiger Nutzung nicht zu knacken sein, da keinerlei Verbindung zum PC besteht und somit ein
    elektronischer Zugriff nicht denkbar ist.

    Viele Grüße

    Wolfgang Marion

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×