# taz.de -- Sicherheit von Smartphones: Phishers Phritze spähen mobil | |
> Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für | |
> Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig. | |
Bild: Unsichere Sache: Überweisungen mit dem Smartphone. | |
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des | |
sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs- | |
und Transaktionsdaten zu gelangen. Nutzer-PCs seien [1][mit Trojanern] | |
infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten | |
ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres | |
Mobiltelefons aufgefordert hätten. | |
Mittels der dann installierten Software konnten die Diebe daraufhin auch | |
die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen. | |
Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über | |
einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer | |
persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der | |
Website seiner Bank ein, will er eine einzelne Aktion wie eine | |
Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben. | |
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe | |
verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte | |
das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in | |
dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per | |
SMS an das Telefon des Bankkunden gesandt. | |
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind… | |
sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim | |
Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist | |
eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass | |
die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt | |
einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben. | |
Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte | |
getrennt voneinander sind.“ | |
## „Sicherheitsupdates“ auf der Bankseite | |
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer | |
des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer | |
eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt | |
Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer | |
bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können | |
Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten. | |
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden, | |
spätestens dann werden, wenn ihnen auf ihrer Bankwebsite | |
„Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das | |
smsTAN-Verfahren benötigen Kunden weder eine Software noch ein | |
Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer, | |
Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu | |
Installationen dieser Art auffordern.“ | |
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein | |
grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und | |
Computer wären heute entweder gleich integriert, wie im Fall von | |
Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur | |
teilen wie das heimische WLAN. | |
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn | |
Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein, | |
dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte | |
setzen können.“ Aber das wäre für mobile Endgeräte ein herber | |
Komfortverlust. | |
14 Nov 2012 | |
## LINKS | |
[1] http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) | |
## AUTOREN | |
Falk Lüke | |
## TAGS | |
Android | |
Smartphone | |
Trojaner | |
## ARTIKEL ZUM THEMA | |
Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab | |
Der Datenschädling "Zeus" räumte in Europa Millionen von | |
Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet. Doch | |
die Abzocke geht weiter - sogar per Handy. | |
Regierung kauft Spionage-Trojaner: FinSpy schnüffelt für den Bund | |
Die Bundesregierung hat eine umstrittene Spionage-Software erworben. Der | |
britische Trojaner wird auch in autoritären Staaten verwendet. |