Sicherheit beim Onlinebanking: Warnung vor mobilem TAN-Verfahren
Eingeführt wurde die mTAN (mobile TransAktionsNummer), weil andere TAN-Verfahren alles andere als sicher erschienen. Der alte Standard, die sogenannte iTAN-Liste, war bald überholt. Online Banking jederzeit und überall via Smartphones (Mobile Banking) wurde populär und entsprechend gepusht. Doch nun gibt es eine neue Warnung in Sachen TAN-Verfahren für das Onlinebanking: Sowohl das Bundeskriminalamt (BKA) wie auch Verbraucherschützer warnen nun vor dem mobilen TAN-Verfahren, berichtet die Frankfurter Allgemeine. Vor allem Nutzer von Googles Android-Betriebssystem sind gefährdet.
Dabei funktioniert dieses für den Bankkunden, der online seine Überweisungen und Bankgeschäfte durchführen möchte, eigentlich am einfachsten. Wenn er seine Überweisung, seinen Dauerauftrag oder Ähnliches anstößt, erhält er auf sein Handy oder sein Smartphone eine TAN. Daher auch die Bezeichnung mTAN (= mobile TAN). Diese TAN ist nur eine begrenzte Zeit lang gültig. Zusätzlich nutzt der Bankkunde zwei Kommunikationskanäle zu seiner Absicherung: Das Internet und das Handynetz. Gerade diese Trennung sorgte für ausreichende Sicherheit.
mTAN doch nur begrenzt sicher?
Es handelt sich um ein sicheres Verfahren und wird deshalb von vielen Banken am liebsten verwendet. Bringt es doch zugleich mitunter auch Geld, da die Bankkunden, je nach Kontomodel und Bank, auch für das Zusenden der mTAN zahlen müssen. Doch heikel kann dieses TAN-Verfahren dann werden, wenn die TAN, auf das selbe Gerät geschickt wird, mit dem auch das Onlinebanking durchgeführt wird.
Wird das Banking indes in zwei „Teile“ getrennt, dem eigentlichen Vorgang beim Onlinebanking und dem Zusenden der TAN, ist dieses auch sehr sicher. Anders sieht es jedoch aus, wenn das Smartphone nicht nur zum Zusenden der TAN, sondern eben auch zum Onlinebanking selbst verwendet wird.
Vorsicht vor manipulierten Apps
Christian Funk von der IT-Sicherheitsfirma Kaspersky wird im neuen „SPIEGEL“ mit klaren Worten zitiert: „Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren“. Es geht dabei nicht einmal um die Sicherheit des Geräts selbst, sondern um die beliebten und viel genutzten Apps, die, wenn sie manipuliert sind oder manipuliert werden, einen großen finanziellen Schaden anrichten können.
Für den Angriff beim Onlinebanking werden vor allem Smartphone Apps manipuliert, die für das Banking genutzt werden und dann die mTANs ausspionieren können. Diese Attacken kommen nicht gerade selten vor, wie auch die Zahlen aus den ersten drei Monaten diesen Jahres zeigen. Laut des Kaspersky-Mitarbeiters Christian Funk (SPIEGEL) hat sich die Zahl der Attacken auf Smartphones nahezu versechsfacht. Am häufigsten schlägt dabei der Trojaner „Faketoken“ zu. Primär im Fokus der Angriffe sind Smartphones mit dem Betriebssystem Android.
Diese Zahl stimmt natürlich mehr als bedenklich. Ist dies doch vor allem ein Bereich, in dem die Banken selbst nichts mehr für die Sicherheit beim Onlinebanking tun können, sondern der Kunde muss seinerseits die sicherste Variante finden, um sich selbst schützen zu können.
mTAN auf anderes Handy schicken lassen?
So praktisch wie Smartphones sind und gerade beim Onlinebanking sein können: Wenn es um Geld geht, sollte die Sicherheit an erster Stelle stehen. Bereits seit Jahren raten Experten dazu, bei Bankgeschäften die Geräte zu trennen. Eines sollte dazu benutzt werden, das Banking selbst vorzunehmen. Das andere organisiert die benötigte TAN.
Zwar mag es sehr praktisch sein, beides mit einem Smartphone zu machen, doch dies mindert die Sicherheit des Onlinebankings sehr. Das beweisen die oben genannten Zahlen hinsichtlich des von Betrügern gerne genutzten Trojaners „Faketoken“. Deshalb sollte man schon aufgrund des Wunsches nach der Sicherheit des eigenen Geldes lieber etwas weniger praktisch vorgehen.
Eine Möglichkeit besteht darin, zusätzlich ein altes oder billiges Handy zu nutzen, damit die mTAN so auf einem zweiten Gerät empfangen werden können. Schon wird die Sache mit dem Smartphone und dem Onlinebanking viel sicherer, da das Prinzip der 2 Kommunikationskanäle wieder greift.
Natürlich mag dies vor allem für die unpraktisch sein, die ihre Bankgeschäfte gerne schnell und einfach mit dem Smartphone erledigen wollen. Dennoch: Denkt man an das Geld, das durch Betrug bzw. Phishing verloren gehen könnte, kommt Vorsicht sicherlich vor Nachsicht.
TAN-Generator statt mTAN nutzen
Wer es noch sicherer haben möchte, der lässt die Sache mit der mTAN auf Smartphone oder Handy ganz bleiben und schaff sich einen TAN-Generator an. Dieses kleine Gerät kostet zwar bei den meisten Banken Geld, dafür stellt diese Form das derzeit sicherste TAN-Verfahren dar.
Beim TAN-Generator wird die TAN nicht auf ein Handy oder das Smartphone geschickt, sondern das Gerät selbst generiert für jeden Vorgang beim Onlinebanking eine neue TAN. Der Generator ist dabei nicht mit dem Gerät verbunden, auf dem das Online Banking ausgeführt wird.
Zwar stellt der TAN-Generator zuerst eine kleine Anschaffung dar, die Geld kostet. Dafür erhöht er jedoch die Sicherheit beim Onlinebanking deutlich. Gerade wenn das Smartphone für die Bankgeschäfte genutzt wird und man sich eben kein zweites Mobilfunkgerät für den Empfang der mTAN anschaffen möchte. Der TAN-Generator ist so klein, dass er in jede Tasche passt und sich deshalb auch einfach mitführen lässt.
Und immer wieder gilt: Vorsicht vor Phishing-Mails!
Wenn man über Betrug beim Onlinebanking spricht und über das Ausspionieren von Bankdaten und TAN, dann darf auch ein Stichwort nicht unerwähnt bleiben: Phishing-Mails. So verrückt es für Menschen sein mag, die jeden Tag mit dem Internet umgehen und schon automatisch auf den Löschknopf drücken, wenn sie solche Mails in ihrem Postfach haben: immer wieder gibt es Menschen, die auf genau diese Masche hereinfallen.
Es kann den Bankkunden teuer zu stehen kommen, wenn er gefährliche Mails und darin enthaltene Links und/oder Dateianhänge öffnet. Der Zweck bestand früher darin, am Telefon oder auf präparierten Webseiten, sensible Daten abzufragen. Heute versuchen die Angreifer heimlich sogenannte Trojaner zu installieren, die unbemerkt im Hintergrund laufen und die Kommunikation des Betroffenen abfangen.
Daher gilt nach wie vor der alte Ratschlag: Mails von unbekannten Absendern oder mit Mailadressen, die nicht von der eigenen Bank, vom eigenen Kreditkartenanbieter oder von PayPal und Co. stammen können, sollten ungelesen gelöscht werden.
Banken versenden keine wichtigen Nachrichten per Email und auch VISA und MasterCard geben Sperrungen von Kreditkarten nicht per Mail aus, was die Versender von solchen Phishing-Mails gerne als Aufhänger für ihre betrügerischen Mails verwenden. Selbstredend sollten keine Links geklickt werden, die in solchen Mails enthalten sind. Ganz zu schweigen von der Eingabe eigener Bankdaten oder Kreditkartendaten auf den Seiten, zu denen diese Links führen.
Gleiches gilt auch für die Dateianhänge in solchen Emails. Öffnen Sie sie nicht und installieren Sie keine Software, die Sie nicht ausdrücklich laden wollten. Wenn Sie beim Öffnen des Datei-Anhangs auffordert werden, ein gewisses Programm zu installieren, können Sie fast immer davon ausgehen, dass es sich um Schadsoftware handelt. Sollten Sie unsicher sein, fragen Sie lieber einen Freund, bevor Sie Installationen vornehmen und Opfer eines Hacker-Angriffs werden.
Zur Grundausstattung für jedes Gerät, das mit dem Internet kommuniziert, sollte ein Virenscanner gehören. Achten Sie darauf, diesen aktuell zu halten. Diese Programme sind in der Lage, verdächtige und gefährliche Schadsoftware zu erkennen und Sie direkt zu warnen.
Trotz aller Gefahren: Onlinebanking wird immer sicherer!
Wer kühlen Kopf behält und das Eigene dafür tut, dass sein Online Banking sicher ist, der wird auch kaum Probleme haben. Denn so groß die Gefahren beim Banking im Internet sein mögen – das größte Risiko ist wohl der Nutzer selbst. Das Konto eines informierten Bankkunden ist nur sehr schwer zu hacken. Daher: Wenn Sie up-to-date bleiben und Sie die Sicherheitshinweise befolgen, brauchen Sie keine erfolgreichen Angriffe auf Ihr Konto zu fürchten. Wir haben für Sie eine Liste mit diversen Sicherungsmöglichkeiten zusammengestellt. Darin wird jedes Verfahren einfach und genau erklärt.
Früher oder später werden wohl auch TAN-Generatoren zum Ziel intelligenter Attacken werden. Aber die Sicherheitsexperten bleiben nicht über Jahre hinweg auf dem gleichen Stand stehen, sondern entwickeln an immer besseren Sicherheitsverfahren. Es gilt also am Ball zu bleiben und mit der Zeit zu gehen.