Tatort WWW: Angriffe auf das Online-Banking-Verfahren SMS-TAN nehmen zu

Digitaler Diebstahl ist keine Seltenheit mehr. Über 180.000 Euro wurden einem 60-jährigen Hamburger von seinem Konto gestohlen, bei einer Logopädin aus Wangen im Allgäu waren es über 70.000 Euro und bei einem 44-jährigen aus Emden 125.000 Euro und die Liste der Opfer lässt sich fast unendlich weiterführen.

Das Erschreckende: In einigen Fällen buchten die Kriminellen zuerst Geld vom Festgeldkonto, vom Tagesgeldkonto und vom Sparbuch auf das Girokonto, bevor sie zuschlugen. Der dadurch entstandene Schaden war ungleich höher, als wenn nur die Girokonten betroffen gewesen wären. Die bestohlenen Bankkunden verwendeten zum Online-Banking das eigentlich als sicher geltende SMS-TAN-Verfahren. Es stellt sich also die Frage: Wie sicher ist das SMS-TAN-Verfahren tatsächlich?

Der Verein Sicherheit im Internet e. V. hat mit Götz Schartner, einem der führenden IT-Sicherheitsexperten, gesprochen. Schartner ist professioneller Hacker, Gründer und Geschäftsführer der IT-Sicherheitsfirma 8com sowie Buchautor. Mit seinem Team prüft und berät er weltweit Unternehmen und Behörden. Seit Jahren hält er Vorträge zum Thema Internetkriminalität sowie Online-Banking-Sicherheit und führt dabei spannende LIVE-Hacking-Attacken vor. Im September hat er nun das Buch „Tatort WWW“ veröffentlicht, in dem er nicht nur reale Fälle aus der Praxis schildert, sondern auch zeigt, wie man sich vor Cyberkriminellen schützen kann.

Herr Schartner, bisher galt das SMS-TAN Verfahren im Online-Banking als sicher. Waren das die ersten Schäden?

Nein, Schäden gab es schon früher. Besonders im Jahr 2012 wurde eine Serie von Online-Banking-Betrügereien unter dem Namen „Eurograbber“ bekannt. Innerhalb weniger Monate haben Kriminelle in vier europäischen Ländern über 36 Millionen Euro durch manipulierte SMS-TAN Überweisungen gestohlen. Davon allein über 12 Millionen Euro in Deutschland. Die einzelnen Schadensfälle beliefen sich auf Beträge zwischen 500 und 250.000 Euro.

Also ist das SMS-TAN Verfahren unsicher?

Das würde ich so nicht sagen. Prinzipiell bietet das SMS-TAN Verfahren einen recht hohen Sicherheitsstandard. Allerdings gibt es wie bei jedem technischen Verfahren Möglichkeiten, die Sicherheitsfunktionen zu umgehen.

Das geht bei jedem Verfahren? Angeblich sollen das Verfahren HBCI mit Chipkarte oder das EBICS-Verfahren doch sicher sein.

Wir haben schon vor einigen Jahren auf Banktagungen live demonstriert, wie wir das Verfahren HBCI mit Chipkarte und EBICS manipulieren können. Im letzten Jahr wurde beispielsweise eine Online-Banking-Betrugswelle namens „Operation High Roller“ entdeckt. Bei dieser wurden auch Chipkarten basierte Verfahren umgangen und Beträge von einigen hundert bis zu einigen Millionen Euro gestohlen.

Investieren die Banken zu wenig in Sicherheit?

Nein, die meisten deutschen Kreditinstitute unternehmen sehr viel und bekämpfen die Betrügereien auf vielfältige Art und Weise. Aber es ist fast unmöglich ein Online-Banking-Verfahren zu entwickeln, das alle Fehler des Benutzers ausbügeln kann. Das Einzige, was einigen Banken vorgeworfen werden kann, ist, dass zu wenig über die Sicherheitslücken und möglichen Schutzmaßnahmen aufgeklärt wird.

Wie meinen Sie das?

Nehmen Sie beispielsweise das SMS-TAN Verfahren. Damit das Verfahren verhältnismäßig sicher genutzt werden kann, müssen die Bankkunden Einiges  beachten. Bei dem SMS-TAN Verfahren füllen Bankkunden im Online-Banking-System ihrer Bank einen Überweisungsträger aus. Dann bekommen die Kunden eine SMS zugesendet, in der die Kontonummer des Zahlungsempfängers, der Überweisungsbetrag und die TAN stehen. Der Kunde muss prüfen, ob Empfängerkontonummer und Betrag korrekt sind. Erst dann darf er die TAN verwenden. Die TAN ist nur für Überweisungen innerhalb weniger Minuten und nur für die Kontonummer und den Betrag gültig, der in der SMS steht. Viele Kunden wissen nicht, dass die Kontrolle der Zahlungsempfängerdaten in der SMS die eigentliche Sicherheit dieses Verfahrens ist. Wer nicht genau nachliest, kann schnell eine über den Computer manipulierte Überweisung bestätigen.

Was könnte sonst noch manipuliert worden sein?

Die Hacker könnten beispielsweise auch das Handy des Bankkunden mit einem Trojaner versehen haben und so die SMS abfangen oder manipulieren. Seit Neuestem gehen die Kriminellen noch einen anderen Weg. Um die SMS mit der TAN abzufangen, bestellen die Kriminellen einfach im Namen des Opfers eine neue SIM-Karte mit gleicher Nummer bei dessen Mobilfunkanbieter und lassen sich diese beispielsweise an eine andere Adresse liefern. Damit erlischt die Sicherheit des SMS-TAN Verfahrens. Hier müssten die Bankberater ansetzen und Kunden über solche Risiken aufklären. Aber welcher Bankberater erzählt das so seinen Kunden und gibt ggf. gleich eine adäquate Sicherheitsanleitung? Hier muss nachgebessert werden. Banken können nicht von ihren Kunden erwarten, dass diese Computersicherheitsspezialisten sind.

Was muss ein Bankkunde alles beachten, um beim Online-Banking auf Nummer sicher zu gehen?

Als erstes muss er die Schwächen des von ihm genutzten Online-Banking-Verfahrens kennen. Unabhängig davon muss er seinen Computer fachgerecht absichern. Angefangen beim aktuellen Betriebssystem bis zur Installation von allen Software-Updates für das Betriebssystem sowie sämtlichen Anwendungsprogrammen wie beispielsweise Java. Dazu gehört ein professionelles Antiviren-Programm und eine Firewall. In meinem Buch „Tatort WWW“ habe ich unter anderem detaillierte Schritt-für-Schritt-Anleitungen erstellt, wie Computernutzer ihre PCs sichern sollten und dazu die Stärken und Schwächen der jeweiligen Online-Banking-Verfahren erläutert.

Also haben Sie einen Ratgeber für IT-Sicherheit geschrieben?

Nein, „Tatort WWW“ ist kein reiner Ratgeber. Das Buch ist eine Mischung aus Truecrime-Kurzgeschichten und Sachbuch mit Sicherheitsanleitungen. Zwei Kriminalkurzgeschichten handeln von wahren Online-Banking-Betrugsfällen. Diese zeigen sowohl die Seite des  Betrugsopfers als auch die des eigentlichen Hackers auf. Im Anschluss an dieses Kapitel stelle ich die verschiedenen Online-Banking-Verfahren und die dazugehörigen Sicherheitstipps vor.

Nutzen Sie selbst Online-Banking und welches Online-Banking-Verfahren empfehlen Sie?

Selbstverständlich nutze ich Online-Banking. Persönlich empfehle ich das chipTAN-Verfahren, aber auch hierbei gibt es einige Sicherheitsanforderungen zu beachten. Wer es genau wissen will, kann seinen Bankberater fragen oder im Buch nachlesen.

Vielen Dank für das Gespräch!