Bild: dpa/David Ebener
Doppelt hält zwar besser, reicht aber nicht aus.
Was ist passiert?

Betrüger haben in den vergangenen Wochen Zugriff zum Online-Banking von Telekom-Kunden verschafft. Dabei hatten sie es auf Mobile-TAN abgesehen. Bei dem Verfahren, auch genannt mTAN, muss man zum Abschließen einer Überweisung eine Nummer eingeben, die einem per SMS zugeschickt wird. Der entstandene Schaden wird auf mehr als eine Million Euro geschätzt. (Süddeutsche.de)

Wie lief der Angriff ab?

Zunächst hackten sich die Täter in die Rechner ihrer Opfer und kamen so an Login-Daten fürs Online-Banking. Dann brachten sie die Telekom dazu, eine neue SIM-Karte auf den Namen und die Nummer des Opfers zu registrieren. So konnten sie die SMS abfangen, die von der Bank zur Kontrolle verschickt wird — und die doppelte Absicherung knacken.

Ist Onlinebanking überhaupt sicher?

Zu 100 Prozent sicher ist kein Verfahren. Im aktuellen Fall sind anscheinend nur Handykunden von der Telekom betroffen zu. In der Vergangenheit gab es jedoch auch andere Betrugsfälle, bei denen mTAN gehackt wurde. Dass so etwas noch einmal geschieht, kann man nicht ausschließen. Tipps für mehr Sicherheit gibt es beim Bundesamt für Sicherheit und Informationstechnik (BSI), unter anderem:

  • Online-Banking nur vom eigenen Rechner aus betreiben.
  • Aktuelle Software verwenden und alle Updates einspielen.
  • W-Lan verschlüsseln.
  • Nicht auf E-Mails reagieren, die angeblich von der eigenen Bank kommen und zur Eingabe irgendwelcher Kennungen auffordern - Banken machen so etwas nicht.
  • Limit für Überweisungen festlegen.
Welche Alternativen zu mTAN gibt es?

chipTAN: Für die momentan gängigste Alternative zu mTAN braucht man einen TAN-Generator, der rund zehn Euro kostet und wie ein kleiner Taschenrechner aussieht, in den man seine Bankkarte stecken kann. In diesen muss man jedes Mal eine Kontrollnummer von der Webseite der Bank eingeben. Anschließend erzeugt der Generator eine für kurze Zeit gültige Transaktionsnummer (TAN), mit der man seine Überweisung abschließen kann. Aber auch bei diesem Verfahren soll es schon zu Manipulationen gekommen.

pushTAN: Hier installiert man sich eine App auf dem Smartphone, die bei einer Überweisung die Kontrollnummer ausgibt. Die App schützt man durch ein Passwort. Angreifer müssten hier erst noch das Handy übernehmen - völlig unmöglich ist das aber auch nicht.

photoTAN: Bei einer Überweisung schickt die Bank dem Nutzer ein Bild mit einem Code auf den Computer, das man mit einer App auf dem Smartphone einliest. Dort wird der Code entschlüsselt und angezeigt. Diesen gibt der Nutzer dann wieder am Computer eingibt.

HBCI: Dieses Verfahren funktioniert ohne TAN, stattdessen braucht man einen auf einer Chipkarte gespeicherten digitalen Schlüssel. Neben einer kostenpflichtigen Signaturkarte und einem Kartenlesegerät benötigt man eine Finanzsoftware, die um die fünfzig Euro kosten kann. Beim HBCI-Nachfolger Secoder hat man zusätzlich noch Tastatur und Bildschirm am Kartenlesegerät. Auf diesem werden während der Überweisung Daten wie die Kontonummer des Zahlungsempfängers angezeigt.

Eine gute Übersicht über alle möglichen Verfahren gibt es hier.

bento Today abonnieren