Editorial: Besorgen Sie sich ein Uralt-Handy!

Nur so sind Sie halbwegs sicher vor Online-Banking-Dieben

Nun ist digitale Sicherheit an sich kein Hexenwerk. Seit Jahren ist bekannt, wie ein kryptographisches Token beschaffen sein muss, damit es zweifelsfrei und fälschungssicher identifiziert werden kann. Das bekannteste solche Token ist die SIM-Karte. Die Entführung von Handy-Rufnummern oder mobiles Telefonieren auf fremde Rechnung - davon hören wir so gut wie nie, weil die SIM-Karte so sicher ist. Zwar brauchte auch der Algorithmus der SIM-Karten in der Vergangenheit ein Sicherheits-Update. Zum Vergleich: Für PC und Smartphone kamen im selben Zeitraum hunderte Sicherheits-Updates.

Mit der mTAN versuchen die Banken nun, sich quasi huckepack auf die gute Sicherheits-Infrastruktur der Mobilfunknetze zu setzen. Doch gelten SIM und SMS zwar als sicher, aber Smartphones sind es nicht, und das öffnet den oben genannten Angriffsvektor per Doppeltrojaner.

Statt sich auf ein fremdes Sicherheitssystem draufzusetzen, müssten die Banken in ein eigenes System investieren, wenn sie wirklich Sicherheit für ihre Kunden haben wollten. Billig würde ein solches eigenes System aber auf keinen Fall, denn ein kryptographisches Bank-Token müsste mehr können als eine SIM-Karte, zum Beispiel die Transaktion nochmal anzeigen, bevor der Kunde sie freigibt. Somit braucht das Token ein (potenziell verwundbares) Kommunikationsmodul und ein (absolut sicher zu implementierendes) Krypto-Modul samt Display, auf dem die zu bestätigende Transaktion noch einmal angezeigt wird.

Diesem geforderten Verfahren recht nah kommt das Chip-TAN-Verfahren, das tatsächlich in ein Kommunikationsmodul und den eigentlichen Krypto-Chip (der Teil neuerer ec-Karten ist) getrennt ist. Nicht optimal ist bei diesem allerdings, dass das Display Teil der Kommunikationseinheit ist, und auch der Krypto-Chip wohl reprogrammierbar ist. Zumindest bei Postbank-Kunden wurde letzterer nach dem Jahr-2010-Problem im Geldautomaten geupdated.

Dennoch bietet Chip-TAN aktuell mehr Sicherheit als herkömmliche TAN, iTAN oder mTAN. Jedoch bieten viele Banken Chip-TAN gar nicht an, oder geben die Geräte nur an die Kunden, die das ausdrücklich wünschen. Bisher scheuen die Banken offensichtlich die Milliardeninvestitionen, die die Verwendung sicherer TAN-Verfahren für alle Kunden mit sich ziehen würden.

Anscheinend wiegt der Reputationsverlust, dass Onlinekonten nicht sicher sind, den Banken noch nicht schwer genug, um in höhere Sicherheit zu investieren. Auch an anderer Stelle scheinen die Banken eher Kosten und Komfort zu optimieren, und im Gegenzug einen gewissen Bodensatz an betrügerischen Transaktionen hinzunehmen. Als Beispiel sei der gängige Betrug mit ec- und Kreditkarten genannt.

Selbstschutz

Verbrauchern, die dennoch weiter das mTAN-Verfahren nutzen wollen oder gar nützen müssen, weil die Bank nur dieses anbietet, ist zu empfehlen, für den Empfang der mTANs ein möglichst einfaches Handy mit einer eigenen SIM-Karte zu verwenden. Dieses Uralt-Handy sollte zudem keinesfalls mit dem Online-Banking-PC synchronisiert werden, und auch sonst komplett getrennt von den Kommunikationswegen sein, über die man das Online-Banking nutzt. Wer es den Angreifern hingegen möglichst leicht machen will, benutzt das Online-Banking direkt auf dem Smartphone, auf dem er auch die mTANs empfängt. Dann reicht schon ein Trojaner zum virtuellen Bankraub mit realer Kontoleerung.

vorherige Seite:

Mobile Banking: TAN, iTAN und mTAN waren allesamt unsicher

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer

Selbstschutz

Weitere Editorials

Bundle-Angebote