Berlin. .
Das neue Sicherheitssystem, bei der die Transaktionsnummern nicht mehr auf Papier (iTAN), sondern für jede Überweisung als SMS-Kurznachricht verschickt werden, sollte mehr Sicherheit bringen. Bis Mitte des Jahres stellen die Banken deshalb ihre Verfahren um. Doch inzwischen werden zunehmend Zweifel laut. „Wir beurteilen das SMS-TAN-Verfahren nicht mehr als sicher“, sagte Christian Funk, Virenanalyst beim Schadsoftwarelabor Kaspersky der NRZ.
Auch interessant
Denn neue Computerviren greifen besonders Smartphones mit dem ebenso verbreiteten wie sicherheitsanfälligen Android-Betriebssystem an - und fangen dort SMS mit TANs ab. Die Trojaner erbeuten zudem Kontonummern und PINs vom Rechner der Bankkunden. Im März trat ein neuer Trojaner in Spanien auf und verursachte dort nach Schätzungen der Sicherheitsbehörden Schäden in Millionenhöhe.
„Bei deutschen Banken ist das nicht möglich“, sagt Stefan Marotzke vom Deutschen Sparkassen- und Giroverband (DSGV). Marotzke verweist auf die „Kanaltrennung“: Danach könne man bei deutschen Banken keine Online-Überweisung von jenem Smartphone auslösen, an welches die mTAN der SMS adressiert wurde. Eine Überweisung sei nur von einem anderen Handy, Tablet oder PC aus möglich. Deshalb hätten Kriminelle keine Chance, TANs, Kontonummern und PINs zugleich zu erbeuten und so Geld abzuzweigen.
„Die neuen Sicherheitsverfahren greifen“, sagt Marotzke. Indes sei nicht auszuschließen, dass sich der Trojaner durch Anpassungen auch gegen deutsche Banken richte, gesteht der Bankenverband ein. Experte Funk ist weniger zurückhaltend. „Ich wüsste nicht, warum eine Attacke nicht auch bei deutschen Banken funktionieren sollte.“
Die Masche der Kriminellen funktioniert nach seiner Darstellung so: Auf dem Computer des Opfers installiert sich ein Trojaner. Dieser wird aktiv, wenn der Nutzer die Internetseite seiner Bank besucht. Dabei stiehlt er Kontonummer und PIN und fordert den Nutzer auf, auf seinem Smartphone ein angeblich neues Sicherheitszertifikat zu installieren. Abgefragt werden dabei auch Modell, Betriebssystem und Handynummer.
Schädling fischt SMS ab
Der Bankkunde bekommt eine SMS mit einem Link auf sein Smartphone geschickt. Öffnet er diesen Link, installiert sich eine App mit einem Schädling, den Experten „Zeus-in-the-Mobile“ nennen, gleichsam der kleine Bruder und Gehilfe des großen Zeus auf dem Computer des Opfers. Fortan leistet der kleine Schädling große Dienste für seine kriminellen Auftraggeber. Er fischt die SMS der Bank mit neuen mTANS ab, so dass Betrüger ungehindert das Konto abräumen können.
Schützen können sich Bankkunden so: Sie sollten bei jeder angeblichen Sicherheitsprozedur bei ihrer Bank anrufen, um fingierte Abfragen auszuschließen. Oder sie nutzen ein altes Handy (kein Smartphone) für ihre Überweisungen, weil sich hier keine Trojaner installieren. Drittens bleibt die Möglichkeit, eine Anti-Virensoftware für Android aufzuspielen oder ein iPhone zu nutzen. Das Smartphone von Apple bereitet bislang so gut wie keine Sicherheitsprobleme, berichtet Kaspersky.