Handelsblatt

MenüZurück
Wird geladen.

24.10.2013

12:31 Uhr

Online-Banking und Mobiltelefone

Polizei geht neuer Betrugsserie nach

Betrüger haben ein scheinbar sicheres System im Online-Banking geknackt, bei dem die Tan-Nummern über Mobiltelefone verschickt werden. Die Täter haben sich Tan-SMS auf eigene Handys schicken lassen.

Bankkunden sollten sorgfältig mit ihren Geheimzahlen für das Online-Banking umgehen. Denn es sind Betrüger unterwegs, die an diese Zahlen kommen möchten. dpa

Bankkunden sollten sorgfältig mit ihren Geheimzahlen für das Online-Banking umgehen. Denn es sind Betrüger unterwegs, die an diese Zahlen kommen möchten.

MünchenErneut sind Bankkunden beim Online-Banking Opfer von Betrügern geworden. Die Polizei registrierte in den vergangenen Wochen bundesweit mindestens sieben Fälle von Betrug beim sogenannten mTan-Verfahren, wie die "Süddeutsche Zeitung" in ihrer Donnerstagsausgabe berichtet.

In einem Fall hoben dem Bericht zufolge Betrüger Mitte September vom Konto einer Frau 58.000 Euro ab. In einem anderen waren es Ende August 77.000 Euro. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.

Beim mTan-Verfahren werden Überweisungen am Computer in Auftrag gegeben, anschließend wird eine Transaktionsnummer (Tan-Nummer) per SMS auf das Handy des Kunden geschickt. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.

Wie Sie ihr Konto beim Online-Banking schützen

TAN

Die alte TAN hat ausgedient - zu leicht zu knacken. Weil Betrüger immer neue Wege finden, Kontodaten im Internet abzugreifen, verschärfen auch Banken ihre Sicherheitsstandards beim Online-Banking. Den klassischen Weg mit geheimem PIN-Code und einer Sammlung von Transaktionsnummern (TAN) nach dem Zufallsprinzip gibt es fast gar nicht mehr. Auch das sogenannte indizierte TAN-Verfahren (iTAN) mit durchnummerierten Codes läuft aus, weil es zu viele Schwachstellen hat.

TAN per SMS

Wer das Handy immer in Reichweite hat, der kann sich seine TAN per SMS schicken lassen. Dazu hinterlegt man einmalig seine Nummer bei der Bank - und bekommt automatisch eine mobile TAN (mTAN) geschickt, um eine Transaktion zu bestätigen. Die haben meist nur eine begrenzte Gültigkeit, um in falschen Händen nicht missbraucht werden zu können.

Risiken lauern trotzdem - gerade bei Smartphones. Denn es gibt schon Programme, die TAN-SMS abgefangen oder auf Handys von Betrügern umleitet sollen. „Die Einführung der Smartphones ist eine Gefahr für das Online-Banking“, warnt Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. „Es gibt ernsthafte Versuche, in mTANs einzugreifen.“

Bestätigungen für einen erfolgreichen Angriff gebe es allerdings noch nicht. Außerdem seien ältere Handys ohne Internetnutzung sicherer - wenn auch nicht unangreifbar. Laut Verbraucherzentrale Nordrhein-Westfalen verbieten Banken in ihren Geschäftsbedingungen deswegen, dass mTANs an Handys geschickt werden, mit denen Bankgeschäfte erledigt werden.

TAN-Generator

Wem die Handy-Variante zu viel Angriffsfläche bietet, der kann bei vielen Banken auf sogenannte TAN-Generatoren zurückgreifen. Die sehen aus wie kleine Taschenrechner mit einem Leseschlitz, in den der Kunde seine EC-Karte schiebt. Je nach Anbieter braucht die Maschine dann mehr oder weniger Informationen, um schließlich auf Knopfdruck eine TAN auszuspucken - das Sicherheitsniveau ist entsprechend unterschiedlich.

Einigen Modellen reicht schon eine Kontrollnummer auf der Webseite der Bank. Andere lesen beim sogenannten optischen Verfahren einen flackernden Strichcode auf der Webseite der Bank aus. Dazu haben die Geräte Sensoren, die der Kunde an den Bildschirm halten muss. Erst wenn der richtige Strichcode erkannt ist, zeigt das Gerät die TAN an.

Die sicherste Variante ist laut Professor Borges aber die, bei der Daten aus der Überweisung in die Berechnung der TAN einbezogen werden - etwa eine Zahlenfolge aus der Kontonummer des Empfängers. „Mit der jeweiligen TAN kann dann nur diese spezielle Überweisung getätigt werden“, sagt Borges.

Allerdings kosten die Generatoren zwischen zehn und 15 Euro und müssen zur Überweisung immer zur Hand sein. „Das ist eine Abwägung zwischen Komfort und Sicherheit“, sagt der Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner. „Das Mobiltelefon habe ich immer dabei.“

Virenschutz

Neben einem sicheren TAN-Verfahren empfiehlt es sich, auch den eigenen Computer samt Virenschutz immer auf dem aktuellen Stand zu halten, um Betrügern den Zugriff möglichst schwer zu machen. „Wir raten auch von Online-Banking in unbekannten oder ungesicherten Drahtlosnetzwerken ab“, sagt Professor Borges. Außerdem sollten Kunden ihre Kontobewegungen regelmäßig prüfen, um einen Betrug schnell zu entdecken und die Bank zu informieren.

HBCI-Verfahren

Allerhöchste technische Sicherheit liefert das HBCI-Verfahren, das einige Banken anbieten. Das Homebanking Computer Interface hat aber seinen Preis: Neben einem speziellen Lesegerät braucht der Kunde ein Computerprogramm und eine Chipkarte mit einem digitalen Schlüssel. Erst diese Dreierkombination verpasst der Transaktion eine kaum zu fälschende Signatur. Selbst geklaute Passwörter sind ohne Zugriff auf die Chipkarte dann nutzlos. Allerdings laufen Überweisungen auch nur mit den Rechnern, auf denen die Software installiert ist.

Die Betrüger spionierten nach Angaben der Zeitung den Computer der Bankkunden aus und kamen so an das Passwort für das Online-Banking. Anschließend besorgten sie sich eine SIM-Karte und ließen die Mobilfunk-Nummer des Kunden auf ihr eigenes Handy umleiten. Sie bekamen fortan alle für diese Kunden bestimmten SMS - einschließlich der mTan-Nummern. Mehrere Geschädigte waren dem Bericht zufolge Kunden bei der Telekom.

Von

afp

Kommentare (13)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

angela-wendehals

24.10.2013, 12:42 Uhr

Beitrag von der Redaktion gelöscht. Bitte bleiben Sie sachlich.

kuac

24.10.2013, 14:08 Uhr

Die Banken hatten das Papier-TAN Verfahren abgeschafft, weil das mehr Arbeit für die Bank bedeutete. Nun haben wir den Salat.

Brockhaus

24.10.2013, 14:36 Uhr

Erst nachdenken, dann den Mund aufmachen. Das Papier-TAN Verfahren ist und war um ein tausendfaches anfälliger für Betrüger als die neuen Verfahren. Beim Papiertanverfahren war es einfach eine 5-Stellige Nummer. Jetzt ist es eine 5-Stellige Nummer die an Kontonummer des Empfängers und Betrag der Überweisung gekoppelt ist. Das System ist deutlich sichere geworden. Betrug gibt es immer und überall. Der Schaden bei betrügerischen, beleghaften Überweisungen ist um ein vielfaches höher als der Schaden bei Onlinebanking-Überweisungen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×