Das Verfahren ist unkompliziert und galt bislang als sicher: Online-Banking via mobile TAN (kurz mTAN, auch smsTAN genannt). Dabei bekommt der Bankkunde seine Transaktionsnummern (TANs) per SMS an sein Handy geschickt. Um z.B. eine Überweisung zu tätigen, meldet sich der Bankkunde an seinem Online-Bankkonto an, füllt das Überweisungsformular aus und schickt es ab. Daraufhin erhält er per SMS von seiner Bank eine TAN, die ebenfalls online einzugeben ist und mit der die Transaktion bestätigt und durchgeführt wird. Zur Verifizierung enthält die SMS neben der TAN auch Angaben wie Datum und Uhrzeit, Betrag und Zielkontonummer. Die TAN gilt nur für genau diese eine Transaktion und ist zeitlich begrenzt, verfällt nach kurzer Zeit, wenn sie nicht genutzt wird. Ohne eine TAN ist keine Transaktion möglich.

Diese so genannte Zwei-Faktor-Authentifizierung, die für die Durchführung einer Transaktion zwei verschiedene Kommunikationskanäle nutzt, galt bislang als sicher. Dennoch wurden in jüngster Zeit Fälle bekannt, in denen Betrüger auch dieses Verfahren ausgehebelt haben. Zum einen besorgten sich die Betrüger die Zugangsdaten zum Online-Banking, indem sie den Computer des Bankkunden mittels Schadsoftware ausspionierten. Außerdem bestellten sie eine weitere SIM-Karte für die Mobilfunknummer des Bankkunden und konfigurierten sie so, dass eingehende SMS auf dem Gerät mit der Zweitkarte eingehen. Damit erlangten sie Zugriff auf die smsTANs und konnten ungehindert Transaktionen durchführen und Konten leerräumen. Folglich müssen die Täter auch die Mobilfunkdaten ihrer Opfer ausspioniert haben, vermutlich durch entsprechende Daten oder Rechnungen auf dem Rechner ihres Opfers.

Sollte diese Betrugsmasche Schule machen und tatsächlich flächendeckend so funktionieren, wird Online Banking per smsTAN zu einem echten Risiko. Insbesondere die Mobilfunknummer wird hier zur Schwachstelle, wenn Mobilfunkprovider die Identität ihrer Kunden nicht so eingehend prüfen, wie es Banken tun. Im Idealfall müssen hier alle Beteiligten, Banken, Mobilfunkprovider und Kunde höchste Sicherheitsvorkehrungen treffen und konsequent einhalten.

So dürften Mobilfunkprovider neue oder Zweit-SIM-Karten nur gegen Kunden-Unterschrift herausgegeben nicht an eine abweichende Lieferadresse verschicken. Mobilfunkkonten müssten standardmäßig durch Kundenpasswörter geschützt und bei jedem Kundenkontakt abgefragt werden (auch wenn die Betrüger sie wie im beschriebenen Fall vermutlich gleich mit ausspionieren). Bankkunden sollten ihre Kontobewegungen permanent kontrollieren und müssen für aktuelle Software und Virenschutz auf ihrem PC sorgen. Für Bank- und Sparkonten mit hohem Guthaben sollten sie die Notwendigkeit von Online Banking generell prüfen, Verzicht erhöht die Sicherheit. Ratsam ist auch, die für das smsTAN notwendigen Daten getrennt zu speichern, z.B. alles rund um den Mobilfunkvertrag nicht auf dem PC abzulegen. Eine Alternative zur smsTAN sind außerdem so genannte TAN-Generatoren, kleine Geräte, die die TAN selbst produzieren, ohne dass an dieser Stelle eine Datenübermittlung stattfindet.

Weitere Informationen:
Angriffe auf mit mTAN geschützte Konten (heise.de)
mTAN-Verfahren: Betrüger finden Angriffsweg beim Onlinebanking (spiegel.de)
Bankbetrüger klauen mTANs mit Zweit-SIM-Karte (golem.de)