Tatort WWW / Angriffe auf das Online-Banking-Verfahren SMS-TAN nehmen zu (FOTO)

Neustadt an der Weinstraße (ots) -

Digitaler Diebstahl ist keine Seltenheit mehr. Über 180.000 Euro
wurden einem 60-jährigen Hamburger von seinem Konto gestohlen, bei
einer Logopädin aus Wangen im Allgäu waren es über 70.000 Euro und
bei einem 44-jährigen aus Emden 125.000 Euro und die Liste der Opfer
lässt sich fast unendlich weiterführen.

Das Erschreckende: In einigen Fällen buchen die Kriminellen zuerst
Geld vom Festgeldkonto, vom Tagesgeldkonto und vom Sparbuch auf das
Girokonto, bevor sie zuschlagen. Der dadurch entstandene Schaden war
ungleich höher, als wenn nur die Girokonten betroffen gewesen wären.
Die bestohlenen Bankkunden verwendeten zum Online-Banking das
eigentlich als sicher geltende SMS-TAN Verfahren. Es stellt sich also
die Frage: Wie sicher ist das SMS-TAN Verfahren tatsächlich?

Der Verein Sicherheit im Internet e. V. hat mit Götz Schartner,
einem der führenden IT-Sicherheitsexperten, gesprochen. Schartner ist
professioneller Hacker, Gründer und Geschäftsführer der
IT-Sicherheitsfirma 8com sowie Buchautor. Mit seinem Team prüft und
berät er weltweit Unternehmen und Behörden. Seit Jahren hält er
Vorträge zum Thema Internetkriminalität sowie
Online-Banking-Sicherheit und führt dabei spannende
LIVE-Hacking-Attacken vor. Im September hat er nun das Buch "Tatort
WWW" veröffentlicht, in dem er nicht nur reale Fälle aus der Praxis
schildert, sondern auch zeigt, wie man sich vor Cyberkriminellen
schützen kann.

F: Herr Schartner, bisher galt das SMS-TAN Verfahren im
Online-Banking als sicher. Waren das die ersten Schäden?

GS: Nein, Schäden gab es schon früher. Besonders im Jahr 2012
wurde eine Serie von Online-Banking-Betrügereien unter dem Namen
"Eurograbber" bekannt. Innerhalb weniger Monate haben Kriminelle in
vier europäischen Ländern über 36 Millionen Euro durch manipulierte
SMS-TAN Überweisungen gestohlen. Davon allein über 12 Millionen Euro
in Deutschland. Die einzelnen Schadensfälle beliefen sich auf Beträge
zwischen 500 und 250.000 Euro.

F: Also ist das SMS-TAN Verfahren unsicher?

GS: Das würde ich so nicht sagen. Prinzipiell bietet das SMS-TAN
Verfahren einen recht hohen Sicherheitsstandard. Allerdings gibt es
wie bei jedem technischen Verfahren Möglichkeiten, die
Sicherheitsfunktionen zu umgehen.

F: Das geht bei jedem Verfahren? Angeblich sollen das Verfahren
HBCI mit Chipkarte oder das EBICS-Verfahren doch sicher sein.

GS: Wir haben schon vor einigen Jahren auf Banktagungen live
demonstriert, wie wir das Verfahren HBCI mit Chipkarte und EBICS
manipulieren können. Im letzten Jahr wurde beispielsweise eine
Online-Banking-Betrugswelle namens "Operation High Roller" entdeckt.
Bei dieser wurden auch Chipkarten basierte Verfahren umgangen und
Beträge von einigen hundert bis zu einigen Millionen Euro gestohlen.

F: Investieren die Banken zu wenig in Sicherheit?

GS: Nein, die meisten deutschen Kreditinstitute unternehmen sehr
viel und bekämpfen die Betrügereien auf vielfältige Art und Weise.
Aber es ist fast unmöglich ein Online-Banking-Verfahren zu
entwickeln, das alle Fehler des Benutzers ausbügeln kann. Das
Einzige, was einigen Banken vorgeworfen werden kann, ist, dass zu
wenig über die Sicherheitslücken und möglichen Schutzmaßnahmen
aufgeklärt wird.

F: Wie meinen Sie das?

GS: Nehmen Sie beispielsweise das SMS-TAN Verfahren. Damit das
Verfahren verhältnismäßig sicher genutzt werden kann, müssen die
Bankkunden Einiges beachten. Bei dem SMS-TAN Verfahren füllen
Bankkunden im Online-Banking-System ihrer Bank einen
Überweisungsträger aus. Dann bekommen die Kunden eine SMS zugesendet,
in der die Kontonummer des Zahlungsempfängers, der Überweisungsbetrag
und die TAN stehen. Der Kunde muss prüfen, ob Empfängerkontonummer
und Betrag korrekt sind. Erst dann darf er die TAN verwenden. Die TAN
ist nur für Überweisungen innerhalb weniger Minuten und nur für die
Kontonummer und den Betrag gültig, der in der SMS steht. Viele Kunden
wissen nicht, dass die Kontrolle der Zahlungsempfängerdaten in der
SMS die eigentliche Sicherheit dieses Verfahrens ist. Wer nicht genau
nachliest, kann schnell eine über den Computer manipulierte
Überweisung bestätigen.

F: Was könnte sonst noch manipuliert worden sein?

GS: Die Hacker könnten beispielsweise auch das Handy des
Bankkunden mit einem Trojaner versehen haben und so die SMS abfangen
oder manipulieren. Seit Neuestem gehen die Kriminellen noch einen
anderen Weg. Um die SMS mit der TAN abzufangen, bestellen die
Kriminellen einfach im Namen des Opfers eine neue SIM-Karte mit
gleicher Nummer bei dessen Mobilfunkanbieter und lassen sich diese
beispielsweise an eine andere Adresse liefern. Damit erlischt die
Sicherheit des SMS-TAN Verfahrens.

Hier müssten die Bankberater ansetzen und Kunden über solche
Risiken aufklären. Aber welcher Bankberater erzählt das so seinen
Kunden und gibt ggf. gleich eine adäquate Sicherheitsanleitung? Hier
muss nachgebessert werden. Banken können nicht von ihren Kunden
erwarten, dass diese Computersicherheitsspezialisten sind.

F: Was muss ein Bankkunde alles beachten, um beim Online-Banking
auf Nummer sicher zu gehen?

GS: Als erstes muss er die Schwächen des von ihm genutzten
Online-Banking-Verfahrens kennen. Unabhängig davon muss er seinen
Computer fachgerecht absichern. Angefangen beim aktuellen
Betriebssystem bis zur Installation von allen Software-Updates für
das Betriebssystem sowie sämtlichen Anwendungsprogrammen wie
beispielsweise Java. Dazu gehört ein professionelles
Antiviren-Programm und eine Firewall. In meinem Buch "Tatort WWW"
habe ich unter anderem detaillierte Schritt-für-Schritt-Anleitungen
erstellt, wie Computernutzer ihre PCs sichern sollten und dazu die
Stärken und Schwächen der jeweiligen Online-Banking-Verfahren
erläutert.

F: Also haben Sie einen Ratgeber für IT-Sicherheit geschrieben?

GS: Nein, "Tatort WWW" ist kein reiner Ratgeber. Das Buch ist eine
Mischung aus Truecrime-Kurzgeschichten und Sachbuch mit
Sicherheitsanleitungen. Zwei Kriminalkurzgeschichten handeln von
wahren Online-Banking-Betrugsfällen. Diese zeigen sowohl die Seite
des Betrugsopfers als auch die des eigentlichen Hackers auf. Im
Anschluss an dieses Kapitel stelle ich die verschiedenen
Online-Banking-Verfahren und die dazugehörigen Sicherheitstipps vor.

F: Nutzen Sie selbst Online-Banking und welches
Online-Banking-Verfahren empfehlen Sie?

GS: Selbstverständlich nutze ich Online-Banking. Persönlich
empfehle ich das chipTAN-Verfahren, aber auch hierbei gibt es einige
Sicherheitsanforderungen zu beachten. Wer es genau wissen will, kann
seinen Bankberater fragen oder im Buch nachlesen.

Titel: Tatort WWW
ISBN: 978-3-86470-120-7
Verlag: Plassen Verlag

Pressekontakt:
8com GmbH & Co. KG, 06321-48446-0