Onlinebanking: Bankraub per Mobiltelefon

Seit viele Banken beim Onlinebanking auf mobile Transaktionsnummern setzen, geraten Smartphones ins Visier von Cybergangstern.

© Jung Yeon-Je/AFP/Getty Images

Onlinebanking per Mobilfunk kommt bereits weltweit zum Einsatz – hier demonstriert eine Angestellte der koreanischen Hana Bank das Verfahren.

Zeus oder SpyEye? Wer mit dem Stehlen von Bankdaten Geld verdienen will, hat die Qual der Wahl. Beide Trojaner-Bausätze lassen sich in den einschlägigen Cybergangsterforen anmieten und dann für eigene Zwecke modifizieren.

Zuletzt setzte eine Gruppe von Cyber-Gangstern auf SpyEye, um einen mehrstufigen Angriff vorzubereiten. Wie genau das funktionierte, machte das Sicherheitssoftwareunternehmen F-Secure Anfang April bekannt. Die Absender der Trojanersoftware hatten es auf die Bankdaten von deutschen Mobiltelefonbesitzern abgesehen. Nachdem andere Programmierer bereits Schädlinge für Apples Mobilbetriebssystem iOS oder Windows Mobile geschrieben hatten, standen nun Nokia-Geräte, die mit Symbian-Software funktionieren, im Visier.

Die erste Mobilvariante eines Zeus-Trojaners war im Herbst 2010 entdeckt worden. Im Februar 2011 versuchten Kriminelle mit einer weiteren Variante des Trojaners, an die Kontodaten von Kunden der ING-Bank in Polen zu gelangen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im März vor mobilen Banking-Trojanern. Die Anwendungen lesen die mobilen Transaktionsnummern (mTAN) mit, die der Kunde üblicherweise verwendet, um Online-Überweisungen und andere Aufträge an die Bank zu verifizieren.

Der von F-Secure entdeckte Mobil-Trojaner Spitmo.A, eine Variante von SpyEye, war ein recht ausgeklügeltes Exemplar der kriminellen Programmierkunst. Die Hacker starteten eine mehrstufige Angriffswelle, um die Bankkunden auszutricksen:

Schritt 1: Trojaner-Software, die den PC befallen hat, blendet einen Banner ein, wenn der Kunde die Webseite seiner Bank aufruft. Es ist nur auf dem Bildschirm des PCs zu sehen. Die Bank bemerkt nicht, dass sich jemand zwischen Webseite und Computer geschoben hat. Das Banner enthält die Nachricht, dass ein neues Sicherheitszertifikat der Bank auf das Handy übertragen werden müsse. Dazu solle der Kunde seine Mobilnummer und die und 15-stellige IMEI-Kennziffer seines Mobiltelefons eingeben.

Schritt 2: Kurze Zeit später bekommt der Bankkunde eine Nachricht auf sein Mobiltelefon, über die das neue Zertifikat angeblich installiert wird. Startet er dieses Programm, erscheint die deutschsprachige Nachricht: "Die Seriennummer des Zertifikats: 88689-1299F". Zugleich wird aber im Hintergrund Spionage-Software auf dem Handy installiert. Sie überträgt die ankommenden mTAN-Daten an einen Webserver. So gelangen die Kriminellen an gültige Transaktionsnummern, mit denen sie Geld von den Kunden ihrer Opfer abbuchen können.

Bisher setzten die Datenräuber darauf, Webbrowser mit ihren Programmen zu infiltrieren und sich so zwischen Bank und Bankkunden zu schieben. Weil das so einfach ist, sollte das mTAN-Verfahren dazu beitragen, Onlinebanking sicherer zu machen. Zumal Phishing-Attacken in den vergangenen Jahren stark zugenommen haben. Durch das Hinzuziehen des Mobiltelefons wollen die Sicherheitsfachleute der Banken einen weiteren Kanal in die Transaktion mit einbeziehen, und zwar einen, auf dem die Programmierer von Zeus- oder SpyEye-Trojanern nicht mitlesen können. "Dadurch, und weil die mTAN nur eine begrenzte Zeit gültig ist, steigt das Sicherheitsniveau punktuell", sagt Hartmut Pohl, Professor von der Hochschule Bonn-Rhein-Sieg.

Viele Banken – zuletzt die Postbank – führten mTAN-Verfahren ein und verabschiedeten sich von den papiernen Listen mit Transaktionsnummern, die sie bislang an ihre Kunden per Brief geschickt hatten.

Doch dieser Ansatz könnte angesichts der Mobiltrojaner technisch bald wieder überholt sein. "Smartphones sind auch nichts anderes als Computer, die man beliebig programmieren und manipulieren kann. Insofern markiert die mTAN nur eine neue Runde in dem andauernden Wettlauf zwischen denen, die Systeme absichern, und denen, die sie manipulieren wollen", sagt Pohl.

Dass es bei diesen ersten, offensichtlich noch folgenlosen Angriffen auf das mTAN-Verfahren bleibt, ist jedenfalls nicht zu erwarten. "Das Entwicklungsniveau der mobilen Trojaner ist hoch, hinter den Angriffen stecken Profis", sagt Tillmann Werner, Virenspezialist beim Sicherheitssoftwareanbieter Kaspersky. Er rechnet damit, dass es in Zukunft sehr viel mehr Angriffe auf mTAN-Verfahren geben wird, weil sich professionelle Banden hier eine lukrative Einnahmequelle versprechen.

Auch nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird die Zahl der Angriffe auf mTAN-Verfahren künftig weiter zunehmen – vor allem, weil der Anteil der Smartphones bei den Mobiltelefonierern und -surfern stark wächst.

Trotz der neuen Mobiltrojaner sei aber das mTAN-Verfahren keinesfalls grundsätzlich unsicher, erklärt eine Sprecherin des BSI. "Grundsätzlich ist das mTAN-Verfahren ein Sicherheitsgewinn im Vergleich zu herkömmlichen Verfahren, denn der Onlinebanking-Vorgang und die Übermittlung der TAN erfolgen auf verschiedenen Übertragungswegen", heißt es in einer Erklärung der Sicherheitsbehörde .

Werner von Kaspersky ist da pessimistischer: "Grundsätzlich kann man schon sagen, dass das mTAN-Verfahren durch die Trojaner unsicher geworden ist. Auch wenn es noch nicht im großen Stil ausgenutzt wurde."

Die Bankkunden selbst können dem dennoch relativ gelassen entgegensehen. Zahlen müssen sie in der Regel nicht, wenn Cybergangster sich Kontodaten ergaunert haben – egal, ob sie dazu auf dem PC oder auf dem Smartphone mitspioniert haben. "Wenn der Kunde alle Sorgfaltspflichten beachtet hat, trägt die Bank den Schaden. Das ist gesetzlich geregelt", sagt Eva Raabe, Banking-Expertin bei der Verbraucherzentrale Hessen.