Introduction
Introduction Statistics Contact Development Disclaimer Help
# taz.de -- Sicherheit von Smartphones: Phishers Phritze spähen mobil
> Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für
> Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig.
Bild: Unsichere Sache: Überweisungen mit dem Smartphone.
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des
sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs-
und Transaktionsdaten zu gelangen. Nutzer-PCs seien [1][mit Trojanern]
infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten
ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres
Mobiltelefons aufgefordert hätten.
Mittels der dann installierten Software konnten die Diebe daraufhin auch
die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen.
Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über
einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer
persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der
Website seiner Bank ein, will er eine einzelne Aktion wie eine
Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben.
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe
verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte
das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in
dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per
SMS an das Telefon des Bankkunden gesandt.
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind…
sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim
Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist
eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass
die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt
einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben.
Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte
getrennt voneinander sind.“
## „Sicherheitsupdates“ auf der Bankseite
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer
des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer
eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt
Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer
bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können
Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten.
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden,
spätestens dann werden, wenn ihnen auf ihrer Bankwebsite
„Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das
smsTAN-Verfahren benötigen Kunden weder eine Software noch ein
Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer,
Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu
Installationen dieser Art auffordern.“
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein
grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und
Computer wären heute entweder gleich integriert, wie im Fall von
Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur
teilen wie das heimische WLAN.
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn
Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein,
dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte
setzen können.“ Aber das wäre für mobile Endgeräte ein herber
Komfortverlust.
14 Nov 2012
## LINKS
[1] http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm)
## AUTOREN
Falk Lüke
## TAGS
Android
Smartphone
Trojaner
Trojaner
## ARTIKEL ZUM THEMA
Regierung kauft Spionage-Trojaner: FinSpy schnüffelt für den Bund
Die Bundesregierung hat eine umstrittene Spionage-Software erworben. Der
britische Trojaner wird auch in autoritären Staaten verwendet.
Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab
Der Datenschädling "Zeus" räumte in Europa Millionen von
Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet. Doch
die Abzocke geht weiter - sogar per Handy.
You are viewing proxied material from taz.de. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.