Sicherheit von Smartphones

Phishers Phritze spähen mobil

Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig.von Falk Lüke

BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs- und Transaktionsdaten zu gelangen. Nutzer-PCs seien mit Trojanern infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres Mobiltelefons aufgefordert hätten.

Mittels der dann installierten Software konnten die Diebe daraufhin auch die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen. Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der Website seiner Bank ein, will er eine einzelne Aktion wie eine Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben.

Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per SMS an das Telefon des Bankkunden gesandt.

„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind“, sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben. Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte getrennt voneinander sind.“

„Sicherheitsupdates“ auf der Bankseite

Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten.

Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden, spätestens dann werden, wenn ihnen auf ihrer Bankwebsite „Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das smsTAN-Verfahren benötigen Kunden weder eine Software noch ein Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer, Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu Installationen dieser Art auffordern.“

Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und Computer wären heute entweder gleich integriert, wie im Fall von Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur teilen wie das heimische WLAN.

Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein, dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte setzen können.“ Aber das wäre für mobile Endgeräte ein herber Komfortverlust.