Schwachstelle mTan

Wenn man im Online-Banking eine Transaktion eingibt, ist man heutzutage bei so gut wie allen Banken über https:// verbunden.
Wenn der Bank-Server dann auch noch Perfect Forward Security verwendet, dürfte die Kommunikation nach heutigen Erkenntnissen sicher sein, soweit der Rechner nicht von Malware befallen ist.
Das ist gut so.

Die Sicherheitskette ist aber nur so stark, wie ihr schwächstes Glied.
Klickt man im Online-Banking nun auf "Mobile TAN anfordern", so wird der Inhalt der Transaktion unverschlüsselt per SMS an das Mobiltelefon übermittelt.
Dort steht dann z. B.

Überweisung auf Konto XXX, Bankleitzahl YYY, Betrag Euro ZZZ. Ihre Tan lautet: MTAN
oder
Kauf XXX Stück Aktie mit ISIN YYYY, Limit ZZZ. Ihre Tan lautet: MTAN

Da die Übertragung unverschlüsselt ist, hat nun jemand, der den Mobilfunkverkehr abhört, die Möglichkeit, diese Daten zu sammeln.

Das kann natürlich die NSA, aber, was viel gefährlicher ist, das können auch Betrüger, die etwas Know-How und das dafür nötige Equipment besitzen.
Die Verschlüsselung im Mobilfunknetz ist heutzutage nicht mehr sicher und wurde bereits geknackt, wie man z. B. bei Teltarif nachlesen kann.

Damit wird durch die Verwendung von MTAN das Bankgeheimnis ad absurdum geführt.

Somit kann jemand in den Mobilfunkdaten gezielt nach solchen SMS suchen und sich Nutzer heraussuchen, die größere Beträge überweisen oder mit größeren Aktienbeständen handeln und versuchen, an deren weitere Daten zu kommen.
Desweiteren steht die MTAN, die der Nutzer empfängt, in unverschlüsselter Form zur Verfügung. Wenn der Betrüger also Zugang zum Account hat, kann er mit der quasi frei durch Abhören verfügbaren MTAN Transaktionen vornehmen.

Persönliche Daten kann ein Krimineller z. B. am Telefon mit Gewinnspiel oder Marktforschungsanrufen versuchen auszuspionieren oder aber über Soziale Netzwerke und Google ermitteln.

Wenn es gelingt, dem Opfer einen Trojaner unterzuschieben oder dieses auf eine Phishing-Mail hereinfällt, dann hat der Kriminelle auch direkt die Zugangsdaten zum Banking und kann mit der frei abgreifbaren MTAN Transaktionen tätigen und die Konten plündern.

Größere Sicherheit gäbe es, wenn man die MTAN in verschlüsselter Form nach dem Public Key-Verfahren übermitteln würde.
Der Pulic Key wird dann im Banking eingegeben und die Transaktionsdaten werden in verschlüsselter Form übermittelt.
Auf dem Smartphone könnte eine App diese Daten wieder entschlüsseln und anzeigen.

Durch die Verschlüsselung würde ein Abhören der Daten im Mobilfunknetz unterbunden und der gezielte Angriff auf anhand der Transaktionshistorie vorher ausgewählte Opfer nicht mehr möglich.

Es bleiben dann noch die Schwachstellen Windwos-Rechner (für Online-Banking) und Smartphone (zum Empfang von MTAN), welche von Trojanern befallen werden können.

Der Rechner kann bekanntermaßen von Malware befallen werden. Hiervor kann man sich schützen, aber auch regelmäßige Updates und auch ein aktueller Virenscanner bieten dabei keine absolute Sicherheit.

Daß auch ein Smartphone gefährdet ist, dürfte unter vielen Nutzern noch relativ unbekannt sein.
Das Smartphone kann bei wahlloser Installation von Apps (z. B. Spiele-Apps) von Trojanern befallen werden, aber auch eine veraltetes Betriebssystem kann Sicherheitslücken aufweisen, die es auch ohne Zutun des Nutzers angreifbar machen.
Solange jeder Hersteller sein eigenes Android herausgibt und nicht den SourceCode der Treiber herausgibt, damit es eine zentral gepflegte Android-Version gibt, die auf jedem Gerät lauffähig ist, wird das Risiko durch veraltete Betriebssysteme umso höher, wenn vermehrt Hersteller älterer Geräte keine Updates mehr herausgeben.