golem.de - Angreifer haben sich auf das mTAN-Verfahren eingestellt

Kriminelle konzentrieren sich bei Angriffen auf das Onlinebanking auf das mTan-Verfahren. Das hat BKA-Präsident Jörg Ziercke am 12. Mai 2014 auf dem Forum für Cybersicherheit während des Deutschen Präventionstageserklärt. "Die Täterseite hat sich auf die Einführung des mTAN-Verfahrens eingestellt", sagte Ziercke. Angriffsziele seien inzwischen vor allem Handys, wobei Smartphones mit veralteten Versionen des Betriebssystems Android besonders gefährdet seien.

Die Zahl der betrügerischen Angriffe auf das Onlinebanking mit Hilfe gestohlener Zugangsdaten ist nach Angaben des Bundeskriminalamts (BKA) im vergangenen Jahr um fast ein Fünftel gestiegen. Solche Phishing-Fälle nahmen demnach um 19,2 Prozent auf 4.100 zu. Die bisher höchste Zahl von Angriffen wurde jedoch im Jahr 2011 mit 6.422 registriert.

Der 19. Deutsche Präventionstag (DPT) findet am 12. und 13. Mai 2014 in Karlsruhe statt. "Das Internet ist eine unverzichtbare Stütze weltweiter ökonomischer, politischer und gesellschaftlicher Informations- und Kommunikationsprozesse, zugleich aber auch ein Feld vielfältigen kriminellen Handelns", so Ziercke.

Betrügern war es beispielsweise gelungen, das mTAN-Verfahren mit kopierten SIM-Karten zu umgehen. Sie spionierten den Computer der Bankkunden aus und kamen so an das Passwort für das Onlinebanking. Anschließend besorgten sie sich eine zweite SIM-Karte für die Nummer des Kunden. Fortan gingen alle für den Kunden bestimmten SMS auch an die Betrüger - darunter die mTAN-Nummern.

Das mTAN-Verfahren wurde von deutschen Banken im Jahr 2003 eingeführt.

Die im Zentralen Kreditausschuss (ZKA) vertretenen Verbände der deutschen Kreditwirtschaft betonten im Jahr 2011 ausdrücklich, dass mit dem mobileTAN-Verfahren ein sicheres Onlinebanking möglich sei, wenn die Übermittlung der TAN auf verschiedenen Übertragungswegen, dem Kunden-PC und über das Mobiltelefon des Kunden erfolge. Wenn jedoch diese Trennung der Kanäle aufgehoben wird, könne der Schutz nicht mehr gewährleistet werden. Unsachgemäß wäre es, wenn der Nutzer sein Onlinebanking auf dem Mobiltelefon durchführt und so die logische Trennung aufhebt, oder wenn der Nutzer seine Mobilnummer bedenkenlos im PC eingibt und so einer eventuellen Schadsoftware auf dem PC ermöglicht, das Mobiltelefon zu infiltrieren. Voraussetzung für so einen Angriff sei jedoch, dass zuerst der Kunden-PC mit der entsprechenden Schadsoftware infiziert wurde.


<- Zur Übersicht