BSI gibt 3 Sicherheitstipps

mTAN-Nummern auf Handys ausgelesen

10.03.2011 von Christiane Pütter
Eine neue Malware-Variante liest beim Online-Banking mTan-Nummern mit. Wie das Ausspähen funktioniert, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Bei der Postbank zum Beispiel wird das Online-Banking ab Mitte April 2011 papierlos. Die mobileTAN per SMS ersetzt die herkömmliche TAN-Liste.
Foto: Postbank

In der Diskussion um die Sicherheit von Online-Banking liegen dieser Tage die Pessimisten wieder vorn. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, warnt jedenfalls vor neuer Schad-Software. Diese können mTAN-Nummern mitlesen.

Das Kürzel TAN steht für Transaktionsnummer und bezeichnet ein Einmal-Passwort, das üblicherweise aus sechs Dezimalziffern besteht. Bei der Mobile TAN (mTAN) werden solche Nummern für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann zum Beispiel eine Online-Überweisung legitimiert.

Dieses Verfahren gilt allgemein als sicherer. Im September vorigen Jahres jedoch berichtete der Security-Dienstleister S21sec in seinem Blog, neue Varianten des Banking-Trojaners ZeuS nähmen mobile TAN ins Visier.

Erst wird der PC infiziert

Das BSI spricht jetzt von Malware, die zunächst PCs infiziert. Wenn der Nutzer dann eine Online-Banking-Webseite aufruft, werden zusätzliche Felder oder Nachrichten eingeblendet. Diese sind in der Optik der Webseite der Bank gehalten und fordern den User auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten.

Mit dem Link, den der Nutzer daraufhin per SMS erhält, lädt er jedoch eine Schadsoftware auf sein Smartphone, die bei künftigen Online-Transaktionen die mTAN mitliest, so das BSI. Dadurch könnten Angreifer zum Beispiel Überweisungen manipulieren und auf fremde Konten umleiten.

Drei Ratschläge vom BSI

Die Security-Experten gehen davon aus, dass derartige Angriffe künftig zunehmen. Smartphones würden auch deswegen immer öfter attackiert, weil viele Nutzer den Schutzbedarf der Geräte unterschätzten. Nach Zahlen des BSI wissen mehr als ein Drittel der User (36 Prozent) nicht, dass ein Smartphone dieselben Sicherheitsvorkehrungen braucht wie ein PC.

Das BSI rät zu folgenden Schutzmaßnahmen:

  1. Nutzer sollten misstrauisch sein, wenn Daten abgefragt werden, die sie normalerweise nicht eingeben müssen. Das heißt umgekehrt für die Banken: Sie sollten ihre Kunden darüber aufklären, wie sie Daten abfragen, und wann Grund zur Vorsicht besteht.

  2. Links aus unbekannten Quellen sind nicht vertrauenswürdig. Weder auf dem PC noch auf dem Smartphone sollten User solchen Links folgen.

  3. Jeder PC sollte regelmäßig durch aktuelle Security-Software geschützt werden.

Das BSI hat auf einer eigenen Website (bsi-fuer-buerger.de) Tipps für Verbraucher zusammengestellt. Auf dem Portal gibt es eigene Kapitel zu den Themen Smartphone, Online-Banking und Phishing.