 |
# taz.de -- Sicherheit von Smartphones: Phishers Phritze spähen mobil |
|
|
|
> Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für |
|
> Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig. |
|
|
 |
Bild: Unsichere Sache: Überweisungen mit dem Smartphone. |
|
|
|
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des |
|
sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs- |
|
und Transaktionsdaten zu gelangen. Nutzer-PCs seien [1][mit Trojanern] |
|
infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten |
|
ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres |
|
Mobiltelefons aufgefordert hätten. |
|
|
|
Mittels der dann installierten Software konnten die Diebe daraufhin auch |
|
die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen. |
|
Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über |
|
einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer |
|
persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der |
|
Website seiner Bank ein, will er eine einzelne Aktion wie eine |
|
Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben. |
|
|
|
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe |
|
verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte |
|
das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in |
|
dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per |
|
SMS an das Telefon des Bankkunden gesandt. |
|
|
|
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind… |
|
sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim |
|
Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist |
|
eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass |
|
die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt |
|
einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben. |
|
Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte |
|
getrennt voneinander sind.“ |
|
|
|
## „Sicherheitsupdates“ auf der Bankseite |
|
|
|
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer |
|
des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer |
|
eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt |
|
Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer |
|
bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können |
|
Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten. |
|
|
|
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden, |
|
spätestens dann werden, wenn ihnen auf ihrer Bankwebsite |
|
„Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das |
|
smsTAN-Verfahren benötigen Kunden weder eine Software noch ein |
|
Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer, |
|
Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu |
|
Installationen dieser Art auffordern.“ |
|
|
|
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein |
|
grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und |
|
Computer wären heute entweder gleich integriert, wie im Fall von |
|
Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur |
|
teilen wie das heimische WLAN. |
|
|
|
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn |
|
Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein, |
|
dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte |
|
setzen können.“ Aber das wäre für mobile Endgeräte ein herber |
|
Komfortverlust. |
|
|
|
14 Nov 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) |
|
|
|
## AUTOREN |
|
|
|
Falk Lüke |
|
|
|
## TAGS |
|
|
|
Android |
|
Smartphone |
|
Trojaner |
|
Trojaner |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Regierung kauft Spionage-Trojaner: FinSpy schnüffelt für den Bund |
|
|
|
Die Bundesregierung hat eine umstrittene Spionage-Software erworben. Der |
|
britische Trojaner wird auch in autoritären Staaten verwendet. |
|
|
|
Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab |
|
|
|
Der Datenschädling "Zeus" räumte in Europa Millionen von |
|
Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet. Doch |
|
die Abzocke geht weiter - sogar per Handy. |
