Auch auf dem Smartphone können sich Trojaner verstecken. Sie spionieren SMS-TANs aus und leiten sie an Kriminelle weiter. Daher sind Sicherheits-Updates wichtig.

Stuttgart - Online-Banking ist nicht wirklich sicher, immer wieder entwickeln Betrüger Tricks und Techniken, um den Bankkunden die TANs abzuluchsen, die für die Überweisungen notwendig sind. Es ist eine Art Wettlauf zwischen Hase und Igel, den sich die Banken, Sicherheitsexperten und Betrüger einander liefern.

 

Einige Banken wie die Postbank und die Sparkassen lösten vor einiger Zeit das als unsicher eingestufte iTAN-Verfahren mit dem mTAN- und dem Chip-TAN-Verfahren ab. Bei mTAN steht das „m“ für „mobil“: Kunden können sich die TANs auf ihr Handy schicken lassen. Beim Chip-TAN-Verfahren liest ein kleines Gerät die auf dem Bildschirm in einem blinkenden Schwarz-Weiß-Code dargestellten Überweisungsdaten und generiert hierzu eine TAN, die der Nutzer dann am Gerät abliest und in das Online-Banking-Programm eingibt. Für Timo Steffens, Referent im IT-Lagezentrum des Bundesamts für Sicherheit in der Informationstechnik, steht fest: „Beide Verfahren sind ein großer Fortschritt gegenüber dem iTAN-Verfahren.“

Pro Überweisung werden 200 bis 300 Euro unbefugt abgebucht

Doch in den vergangenen Monaten sind neue Gefahren aufgetaucht: Spionageprogramme, die Trojaner genannt werden, und auf dem Handy gespeichert werden. Der neueste Trojaner-Typ tauchte kürzlich in Spanien auf und soll sich allmählich in anderen europäischen Ländern verbreiten. In Spanien sollen bereits Schäden von rund drei Millionen Euro entstanden sein. Pro Überweisung greifen die digitalen Bankräuber meist zwischen 200 und 300 Euro ab. Der Trojaner gibt sich als TAN-Generator aus, der von den Banken bereitgestellt wird. Er fragt den Authentisierungscode des Anwenders ab und generiert eine TAN, die aber letztlich wertlos ist. Den Authentisierungscode sendet er samt Geräteinformationen an die kriminellen Angreifer. Mit dem Code können sie sich auf dem Konto anmelden und eine SMS mit mTAN-Kennungen anfordern. Trifft die SMS auf dem Smartphone des ausspionierten Bankkunden ein, fängt der Trojaner sie ab und leitet sie an den Angreifer weiter.

Infiziert wird das Smartphone etwa, wenn der Nutzer sich auf seinem Computer einen Trojaner eingefangen hat und die Daten zwischen Rechner und Handy synchronisiert. Dann wird die Schadsoftware auf das Handy gespielt. Verseuchte Mobile-Banking-Apps in den Smartphone Marketplaces sind bislang nicht bekannt. Aussagekräftige Schadenzahlen liegen dem Bundesamt für Sicherheit in der Informationstechnik noch nicht vor. Doch Steffens ist sich sicher, dass die Angriffe zunehmen werden, „weil es um Geld geht“.

Die Spionage ist beim Online-Banking zum Glück aufwendig

Dabei sind die Attacken relativ aufwendig zu gestalten, da sie immer zielgerichtet konfiguriert werden müssen. „Das sind gezielte Kampagnen“, sagt Steffens. „Für jede Bank müssen die Konfigurationsdaten neu eingestellt werden. Der Nutzer muss in seiner Landessprache und in dem Kommunikationsstil seiner Bank angesprochen werden.“ Weil sich die Smartphones stark unterscheiden, muss die Software für jedes Modell neu angepasst werden. Dabei werden die Modelle mit dem höchsten Marktanteil eher angegriffen.

Verschärft wird die Situation dadurch, dass sich die Sicherheitsupdates der Handybetriebssysteme nur schleppend verbreiten. Nicht nur der Hersteller des Betriebssystems, sondern auch die Gerätehersteller, Netzbetreiber und Händler müssen sie in die jeweiligen Versionen einbauen. Steffens rät, jedes Software-Update nicht nur auf dem Smartphone, sondern auch auf dem Computer zu installieren. Dass es für das Chip-TAN-Verfahren noch keinen Trojaner gibt, bedeute übrigens nicht, dass das Verfahren sicherer sei, sagt Steffens: „Wenn das eine Verfahren einen größeren Marktanteil hat, werden sich die Angreifer darauf konzentrieren.“ Auch beim Chip-TAN-Verfahren sei es denkbar, dass die Nutzer aufgefordert werden, die TAN in einem separaten Fenster einzugeben, über das die Angreifer Zugriff haben.