mTAN-Verfahren nicht sicher genug?

Dienstag den 26.08.2014

Das Mobile-Tan-Verfahren (TAN: Transaktionsnummer) galt eigentlich als sicher. Weil der Überweisungsvorgang am PC oder Notebook erledigt und die Tan aufs Handy geschickt wird, sind zwei voneinander unabhängige Systeme beteiligt. Dieses Verfahren wurde vor knapp drei Jahren eingeführt, um die als betrugsanfällig geltenden TAN-Listen auf Papier abzulösen. Inzwischen zeigt sich aber, dass Betrüger durchaus in der Lage sind, per mTan das Girokonto zu plündern.

Voriges Jahr wurde eine Serie von 17 Betrugsfällen publik. Die Täter erbeuteten über eine Million Euro. Sowohl Mobilfunkanbieter als auch Banken reagierten und schoben den Sicherheitslücken einen Riegel vor. Das hat anscheinend nicht gereicht. Zwei Mal schlugen die Kriminellen seither wieder zu. Betroffen waren in beiden Fällen Kunden der Postbank und von o2. Ende Juli wurden so zwei Überweisungen über jeweils 9.900 Euro autorisiert. Vorher waren fünf Transaktionen durchgeführt worden, mit einem Schaden von 38.732 Euro.

Erste Ermittlungsergebnisse der Polizei ergaben, dass die Betrüger sich über Schadsoftware Zugang zum Rechner und damit auch dem Onlinebanking der Betroffenen verschafft und die Handynummer ausgespäht hatten. Im zweiten Schritt kauften sie SIM-Karten in einem Kölner Telefonshop. Warum sie dort für die Freischaltung keinen Personalausweis vorlegen musste, ist sowohl dem Provider als auch der Polizei ein Rätsel. Mit den nötigen Daten veranlassten die Täter die Überweisungen und erhielten die ‚Transaktionsnummern auf ihr eigenes Handy.

Der Mobilfunkanbieter o2 sieht die Kunden in der Pflicht: „Wir raten aus Sicherheitsgründen grundsätzlich von einer Nutzung des mTan-Verfahrens ab.“ Diesen Tipp geben längst auch Experten wie Christian Funk von der IT-Sicherheitsfirma Kasperky. „Über manipulierte Handy-Apps können Internetdiebe mittlerweile auch Smartphones ausspionieren“, erklärte er im Gespräch mit dem „Spiegel“. Die Zahl der Attacken auf die mobilen Geräte habe sich allein im ersten Quartal 2014 bereits versechsfacht. Daher: Finger weg von verdächtigen Apps. „Wer sichergehen will, nutzt statt des mTan-Verfahrens einen Tan-Generator“, so der Bundesverband der Verbraucherzentralen.