Die Warnungen des Bundeskriminalamts sind wahr geworden - und es ist keine echte Überraschung. In dem Maße, wie die m-TAN auf dem Vormarsch ist, befasst sich auch die Hacker-Szene damit. Anfang März hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) deshalb vor einer Angriffswelle gewarnt, bei der es darum geht, die Trennung der Kanäle von Onlinebanking und Übermittlung der TAN auszuhebeln.
Computer werden zunächst mit einer speziellen Schadsoftware infiziert, die aktiv wird, sobald der Nutzer eine Onlineban-king-Website aufruft. In der Optik der Bank gehalten, werden dann zusätzliche Felder oder Nachrichten eingeblendet, die den Nutzer dazu auffordern, seine Mobilfunknummer, sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten. Stattdessen lädt er sich aber mit diesem Link eine Schadsoftware auf sein Mobiltelefon, die bei künftigen Onlinetransaktionen die m-TAN mitliest und es Angreifern so ermöglicht, zum Beispiel Überweisungen zu manipulieren und auf fremde Konten umzuleiten.
Dies mag ein wenig an das "Dinosaurier-Phishing" der ersten Tage erinnern, auf das heute kaum noch ein Nutzer hereinfallen würde. Nur: Da die mobile TAN noch relativ neu ist, mag der eine oder andere durchaus glauben, dass die einmalige Eingabe dieser Angaben erforderlich ist. Und der Schutzbedarf der mobilen Endgeräte ist den Nutzern vielfach nicht bekannt. Mehr als jedem dritten Smart-phone-Nutzer, so das BSI, ist nicht bewusst, dass das mobile Endgerät die gleichen Sicherheitsvorkehrungen wie etwa Virenschutzprogramme benötigt wie ein PC. Angriffe über Smartphones wer den deshalb weiter zunehmen, warnt die Behörde.
Für die Banken heißt das: Die bloße Einführung der mobilen TAN wird allein nicht reichen, wenn es nicht gelingt, den Kunden für die Sicherheitslücken bei den mobilen Endgeräten zu sensibilisieren. Auch der elektronische Personalausweis ist schließlich nur so sicher wie das Lesegerät, das sich der Nutzer anschafft. Vielleicht wäre langfristig deshalb doch die TAN-Übermittlung über Karten mit Display und Tastatur die bessere Variante. Visa testet das Modell derzeit unter dem Namen "Code sure" mit der DKB. Red.