Schweizer E-Banking: So (un-)sicher sind mTan, Smartphone, PC...

Ein Netz von Cyberkriminellen hat Schweizer Bankkunden angegriffen. Wie sicher ist E-Banking in der Schweiz? Wie kann man sich vor Betrügern schützen?

» Von Michael Kurzidim , 28.07.2014 12:32.

weitere Artikel

Vor einer Woche berichtete Computerworld von einem Phishing-Angriff auf Schweizer Bankkunden. Die Sicherheitsspezialistin Trend Micro hatte die Infrastruktur eines weltweiten Netzes von Cyberkriminellen aufgedeckt und in einem Forschungsreport ausführlich dokumentiert (Operation Emmental). Betroffen waren Banken-Domains in der Schweiz, Österreich, Schweden und Japan.

Anders als in der Schweizer Tagespresse verschiedentlich beschrieben handelt es sich dabei nicht um einen Angriff auf die Infrastruktur der betroffenen Schweizer Banken. Die Schweizer Banken-IT ist sicher. Die Betrüger führten vielmehr eine Phishing-Attacke auf die Bankkonten einzelner Schweizer Bankkunden aus. Das macht die Sache nicht angenehmer, im Gegenteil. Die Cyberkriminellen haben PCs und Smartphones ihrer Opfer kompromittiert und konnten dann nach Belieben Geldbeträge abheben und Transaktionen tätigen.

Das Beunruhigende: Ein solcher Phishing-Angriff kann jederzeit wieder passieren - auch in der Schweiz. Insbesondere die sogenannte Zwei-Faktor-Authentifizierung - die Bank schickt eine SMS aufs Handy/Smartphone - scheint nicht mehr sicher zu sein. Viele Schweizer Banken scheuen jedoch die Investition in aufwendigere Sicherheitsverfahren. Wie können Schweizer Bankkunden, die E-Banking benutzen, ihre Konten schützen? Computerworld sprach mit Udo Schneider, Security Evangelist der DACH-Region bei Trend Micro.

CW: Herr Schneider, ist mobiles E-Banking heute sicher? Ein von Trend Micro aufgedeckter Phishing-Angriff auf Schweizer Bankkunden scheint das Gegenteil zu beweisen.

Schneider: Theoretisch ausgedrückt sollte ein beim E-Banking eingesetztes Verfahren zwei Sicherheitsbedingungen erfüllen. (1) Es sollte ein Medienbruch existieren - und zwar zwischen dem Gerät, auf dem die Online-Transaktion vom Bankkunden in Auftrag gegeben wird und dem Gerät, das eine Bestätigungs-TAN oder einen anderen SIcherheitscode generiert. Und (2) sollten Bestätigungs- und Sicherheitscodes an die jeweilige Transaktion gebunden sein, und nicht im Dutzend verschickt und entwendet werden können.

"Die klassischen Papier-TANs fallen schon einmal durch"

Und was heisst das ganz praktisch formuliert?

Schneider: Die klassischen Papier-Tans fallen da schon einmal durch. Sie erfüllen die erste, aber nicht die zweite Sicherheitsbedingung. Mobile TANs (mTANs) erfüllen beide Bedingungen: Immerhin gilt eine mTAN nur für eine Transaktion und ist auch an diese gebunden. Immerhin kann man kontrollieren, ob die mTAN, die man mobil bekommt, mit den Transaktionsdaten am PC übereinstimmt. Die Sicherheit beim mTan-Verfahren beruht darauf, dass es einen Medienbruch zwischen PC und Mobile gibt und dass dem Mobile/der SMS vertraut werden kann.

Trotzdem ist es Betrügern gelungen, das mTan-Verfahren auszuhebeln...

Schneider: Leider ist es heute durchaus üblich, seine Bankgeschäfte durchgehend auf dem Smartphone oder Tablet abzuwickeln. Damit ist der Medienbruch hinfällig. Aber noch schlimmer: Die von uns aufgedeckte "Operation Emmental" untergräbt die Vertrauensstellung des Mobile. Die Betrüger konnten mit der dort installierte kriminellen App den SMS-Verkehr abfangen und die volle Kontrolle über die Bankkonten ihrer Opfer erlangen. Man kann seinem Smartphone also nicht mehr völlig vertrauen.

Nächste Seite: So schützt man sich vor Betrügern

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.