Manfred Kloiber: Bleiben wir noch ein wenig im Reich von Lug und Trug: Schon lange versuchen ja die Banken, sich und ihre Kunden mit immer neuen Sicherheitstechnologien gegen Online-Betrüger zu schützen. So wurde das TAN-Verfahren mehrfach verbessert, zuletzt durch die mTAN per SMS. Doch nun stellt sich heraus, dass auch die mTAN ganz leicht manipuliert werden kann. Und zwar weniger durch aufwendige Schadsoftware, sondern durch Ausnutzen menschlicher Schwächen. Knapp 80.000 Euro erbeuteten Betrüger kürzlich vom Konto einer Bankkundin aus dem Allgäu. Sie konnten das Geld ganz einfach selbst vom Konto abbuchen. Michael Stein hat sich den Fall näher angesehen. Herr Stein, wie sind denn die Betrüger vorgegangen?
Michael Stein: Also nachdem, was man bisher weiß, war es wohl so, dass Betrüger auf dem Rechner des Opfers einen Trojaner installiert hatten und mithilfe dieses Trojaners dann Kontodaten und Login-Daten fürs Online-Banking ausgespäht haben. Aber auch Name, Adresse, Geburtsdatum und auch die Mobilfunknummer. Dann haben die sich in einem zweiten Schritt eine SIM-Karte des Netzbetreibers besorgt, die das Opfer benutzt, haben dann die Hotline dieses Netzbetreibers angerufen und haben gesagt, 'also ich habe eine neue SIM-Karte und bitte die doch jetzt aktivieren und die alte deaktivieren '. Dann haben die Überweisungen gestartet und haben das ganze Konto leergeräumt. Das Opfer war für das sogenannte mTAN-Verfahren registriert. Das funktioniert so, dass, wenn man Überweisungen tätigt, die TAN - die Zahl, die man eingeben muss, um die Überweisung eben zu bestätigen - dann per SMS aufs Handy geschickt wird. Ja, und diese TAN kam jetzt eben auf das Handy des Betrügers. Eben auf die neue SIM-Karte. Und deswegen konnte die Überweisung dann jeweils auch ausgeführt werden.
Kloiber: Das heißt also, die Betrüger haben sich eine neue SIM-Karte für den Anschluss der betrogenen Dame dort besorgt. Wenn aber eine neue SIM-Karte aktiviert wird, wird doch die alte automatisch deaktiviert. Das merkt man doch.
Stein: Also es war wohl offenbar so, dass die Betrüger sehr, sehr schnell gehandelt haben. Also das heißt, nachdem die neue SIM-Karte aktiviert war, haben die sofort die Überweisungen gestartet. Na ja, und wer sein Handy oder sein Smartphone nicht dauernd nutzt, also nicht dauernd draufguckt, der merkt auch nicht sofort, dass da jetzt plötzlich kein Netz da ist. Und dieser kleine Hinweis "SIM-Karte nicht erkannt" oder "SIM nicht funktionsfähig" oder das rote Kreuz zum Beispiel, so ein kleines, was man in der Ecke dann sieht, wenn kein Netz da ist, das übersieht man dann vielleicht einfach. So war es wahrscheinlich hier auch.
Kloiber: Das hört sich so an als wenn es wirklich total einfach sei, eine SMS umzuleiten – stimmt das im Prinzip?
Stein: Also im Prinzip scheint das so zu sein. Es scheint sich dabei um eine echte Sicherheitslücke zu handeln. Allerdings keine technische, sondern es scheint eine menschliche Sicherheitslücke zu sein. Das heißt im Klartext: Wer sich beim Anruf bei der Hotline des Netzbetreibers einfach clever genug anstellt, der schafft es offenbar auch. Vor allem dann natürlich, wenn man alle persönlichen Daten hat, so wie in dem Fall ja jetzt auch – also sogar das Geburtsdatum zum Beispiel. Und danach fragen diese Hotliner ja oft auch, um verifizieren zu können, dass man es tatsächlich auch wirklich ist. Aber die hatte der Betrüger ja auch alle. Na ja, und der Rest ist dann einfach durch ein bisschen Social Engineering im Gespräch offensichtlich passiert. Wenn man sich dann also einfach gut mit dem Hotliner versteht und so weiter, dann hat das offensichtlich in dem Fall funktioniert.
Kloiber: Jetzt kommt natürlich die unvermeidliche Frage: Was kann man dagegen machen?
Stein: Also die Netzbetreiber haben natürlich auch schon reagiert und sagen, man solle ein geheimes Kundenkennwort vereinbaren. Das haben wohl viele nicht gemacht und das ist im Prinzip das, wenn man bei der Hotline anruft, dass man dann eben ein Kundenkennwort sagen muss. Das wird nirgendwo eingetippt, sondern es wird einfach mündlich weitergegeben. Das heißt, das lässt sich dann im Prinzip auch nicht ohne weiteres ausspähen. Es sei denn, der Trojaner wäre nicht nur auf einem Computer, sondern der wäre auch auf einem Smartphone installiert. Dann könnte es theoretisch so sein, dass Gespräche also auch mitgehört werden und dann auch so ein Kundenkennwort mitgehört werden könnte. Das halte ich aber für relativ unwahrscheinlich. Weil dann müssten ja die Betrüger im Prinzip alle Gespräche, die jemand führt, wirklich auch mithören, bis dann dieses geheime Kundenkennwort irgendwann fällt. Das halte ich doch für eher unwahrscheinlich.
Kloiber: Nach diesem Vorfall: Wie muss man das mTAN-Verfahren jetzt einschätzen? Sollte man es lieber nicht mehr nutzen?
Stein: Also ich habe nochmal so ein bisschen rumgehört. Selbst Verbraucherschützer kannten also diese menschliche Sicherheitslücke, so möchte ich mal sagen, jetzt eben nicht. Es gibt in der Tat deutlich sicherere Verfahren als dieses mTAN-Verfahren, zum Beispiel Smart-TAN ist ein Verfahren. Da benutzt man ein kleines Kästchen, also so einen Smart-TAN-Generator. Da steckt man auch seine Bankkarte hinein. Dann hält man diesen Generator vor den Bildschirm und eine animierte Grafik wird von der Bank über den Bildschirm gesendet – also im Prinzip so ein Flackern. Und der TAN-Generator kann die lesen und dechiffrieren und zeigt dann die TAN an, die man dann wiederum eingibt. Der große Vorteil dieses Systems ist natürlich: Das Gerät ist mit gar nichts vernetzt, hängt nicht am Internet, ist mit nichts verbunden, kann also auch nicht manipuliert werden.
Kloiber: Herr Stein, dieses Smart-TAN-Verfahren hört sich ja ganz vernünftig an. Wie kommt man denn zu einem solchen Smart-TAN-Generator?
Stein: Also ganz klar, da muss man seine Bank ansprechen. Die allermeisten Banken bieten dieses Verfahren auch an. Man bekommt zum Teil diesen Smart-TAN-Generator kostenlos von der Bank oder muss dafür etwas bezahlen, zwischen 10 und 15 Euro etwa. Also man sollte seine Bank ansprechen.
Michael Stein: Also nachdem, was man bisher weiß, war es wohl so, dass Betrüger auf dem Rechner des Opfers einen Trojaner installiert hatten und mithilfe dieses Trojaners dann Kontodaten und Login-Daten fürs Online-Banking ausgespäht haben. Aber auch Name, Adresse, Geburtsdatum und auch die Mobilfunknummer. Dann haben die sich in einem zweiten Schritt eine SIM-Karte des Netzbetreibers besorgt, die das Opfer benutzt, haben dann die Hotline dieses Netzbetreibers angerufen und haben gesagt, 'also ich habe eine neue SIM-Karte und bitte die doch jetzt aktivieren und die alte deaktivieren '. Dann haben die Überweisungen gestartet und haben das ganze Konto leergeräumt. Das Opfer war für das sogenannte mTAN-Verfahren registriert. Das funktioniert so, dass, wenn man Überweisungen tätigt, die TAN - die Zahl, die man eingeben muss, um die Überweisung eben zu bestätigen - dann per SMS aufs Handy geschickt wird. Ja, und diese TAN kam jetzt eben auf das Handy des Betrügers. Eben auf die neue SIM-Karte. Und deswegen konnte die Überweisung dann jeweils auch ausgeführt werden.
Kloiber: Das heißt also, die Betrüger haben sich eine neue SIM-Karte für den Anschluss der betrogenen Dame dort besorgt. Wenn aber eine neue SIM-Karte aktiviert wird, wird doch die alte automatisch deaktiviert. Das merkt man doch.
Stein: Also es war wohl offenbar so, dass die Betrüger sehr, sehr schnell gehandelt haben. Also das heißt, nachdem die neue SIM-Karte aktiviert war, haben die sofort die Überweisungen gestartet. Na ja, und wer sein Handy oder sein Smartphone nicht dauernd nutzt, also nicht dauernd draufguckt, der merkt auch nicht sofort, dass da jetzt plötzlich kein Netz da ist. Und dieser kleine Hinweis "SIM-Karte nicht erkannt" oder "SIM nicht funktionsfähig" oder das rote Kreuz zum Beispiel, so ein kleines, was man in der Ecke dann sieht, wenn kein Netz da ist, das übersieht man dann vielleicht einfach. So war es wahrscheinlich hier auch.
Kloiber: Das hört sich so an als wenn es wirklich total einfach sei, eine SMS umzuleiten – stimmt das im Prinzip?
Stein: Also im Prinzip scheint das so zu sein. Es scheint sich dabei um eine echte Sicherheitslücke zu handeln. Allerdings keine technische, sondern es scheint eine menschliche Sicherheitslücke zu sein. Das heißt im Klartext: Wer sich beim Anruf bei der Hotline des Netzbetreibers einfach clever genug anstellt, der schafft es offenbar auch. Vor allem dann natürlich, wenn man alle persönlichen Daten hat, so wie in dem Fall ja jetzt auch – also sogar das Geburtsdatum zum Beispiel. Und danach fragen diese Hotliner ja oft auch, um verifizieren zu können, dass man es tatsächlich auch wirklich ist. Aber die hatte der Betrüger ja auch alle. Na ja, und der Rest ist dann einfach durch ein bisschen Social Engineering im Gespräch offensichtlich passiert. Wenn man sich dann also einfach gut mit dem Hotliner versteht und so weiter, dann hat das offensichtlich in dem Fall funktioniert.
Kloiber: Jetzt kommt natürlich die unvermeidliche Frage: Was kann man dagegen machen?
Stein: Also die Netzbetreiber haben natürlich auch schon reagiert und sagen, man solle ein geheimes Kundenkennwort vereinbaren. Das haben wohl viele nicht gemacht und das ist im Prinzip das, wenn man bei der Hotline anruft, dass man dann eben ein Kundenkennwort sagen muss. Das wird nirgendwo eingetippt, sondern es wird einfach mündlich weitergegeben. Das heißt, das lässt sich dann im Prinzip auch nicht ohne weiteres ausspähen. Es sei denn, der Trojaner wäre nicht nur auf einem Computer, sondern der wäre auch auf einem Smartphone installiert. Dann könnte es theoretisch so sein, dass Gespräche also auch mitgehört werden und dann auch so ein Kundenkennwort mitgehört werden könnte. Das halte ich aber für relativ unwahrscheinlich. Weil dann müssten ja die Betrüger im Prinzip alle Gespräche, die jemand führt, wirklich auch mithören, bis dann dieses geheime Kundenkennwort irgendwann fällt. Das halte ich doch für eher unwahrscheinlich.
Kloiber: Nach diesem Vorfall: Wie muss man das mTAN-Verfahren jetzt einschätzen? Sollte man es lieber nicht mehr nutzen?
Stein: Also ich habe nochmal so ein bisschen rumgehört. Selbst Verbraucherschützer kannten also diese menschliche Sicherheitslücke, so möchte ich mal sagen, jetzt eben nicht. Es gibt in der Tat deutlich sicherere Verfahren als dieses mTAN-Verfahren, zum Beispiel Smart-TAN ist ein Verfahren. Da benutzt man ein kleines Kästchen, also so einen Smart-TAN-Generator. Da steckt man auch seine Bankkarte hinein. Dann hält man diesen Generator vor den Bildschirm und eine animierte Grafik wird von der Bank über den Bildschirm gesendet – also im Prinzip so ein Flackern. Und der TAN-Generator kann die lesen und dechiffrieren und zeigt dann die TAN an, die man dann wiederum eingibt. Der große Vorteil dieses Systems ist natürlich: Das Gerät ist mit gar nichts vernetzt, hängt nicht am Internet, ist mit nichts verbunden, kann also auch nicht manipuliert werden.
Kloiber: Herr Stein, dieses Smart-TAN-Verfahren hört sich ja ganz vernünftig an. Wie kommt man denn zu einem solchen Smart-TAN-Generator?
Stein: Also ganz klar, da muss man seine Bank ansprechen. Die allermeisten Banken bieten dieses Verfahren auch an. Man bekommt zum Teil diesen Smart-TAN-Generator kostenlos von der Bank oder muss dafür etwas bezahlen, zwischen 10 und 15 Euro etwa. Also man sollte seine Bank ansprechen.