Chaos Computer Club:

TAN-Zettel bei Online-Banking sicherer als SMS-TAN

(Bild: thinkstockphotos.de)

IT-Sicherheitsexperten des Chaos Computer Clubs haben bei ihrer jährlichen Versammlung in Hamburg vor der Nutzung von via SMS zugeschickten TAN-Codes beim Online-Banking gewarnt. Gängige Mobilfunkstandards wie SMS seien nicht ausreichend geschützt, um die Sicherheit der darüber verschickten Daten zu gewährleisten. Beim Online-Banking sei der klassische TAN-Zettel sicherer, als die mobile SMS-TAN.

Grund für die mangelnde Sicherheit von SMS-TANs seien Schwachstellen im Mobilfunk-Protokoll SS7, berichtet das IT-Portal "Golem". Versierten Hackern sei es über dieses Protokoll möglich, Handynutzer abzuhören und Nachrichten umzuleiten, ohne auch nur in der Nähe ihres Opfers zu sein. SMS-TANs könnten so abgefangen werden, um mit ihrer Hilfe das Bankkonto des Opfers zu plündern.

SMS-TAN galt bisher als relativ sicher
Bislang hatten Banken die SMS-TAN-Methode als relativ sicher betrachtet, da das Online-Banking selbst dabei über den PC abgewickelt wird und die für die Bestätigung einer Transaktion nötige SMS auf das Handy des Nutzers geschickt wurde. Angreifer, die sich am Konto ihres Opfers zu schaffen machen wollen, mussten demnach sowohl den PC, als auch das Smartphone des Opfers infizieren.

Einige besonders hinterhältige Banking-Trojaner taten dies bereits und installierten sich beispielsweise beim Anschluss eines Smartphones an den PC unbemerkt auf das Handy, um dort die SMS-TAN abzufangen. Durch die Lücken im SS7-Protokoll könnten SMS-TANs nun auch ohne Malware am Smartphone abgefangen werden. Die Sicherheitsforscher des Chaos Computer Clubs raten deshalb zur Nutzung des guten alten TAN-Zettels. Hier kommen Cyberkriminelle nur bei erfolgreichen Phishing-Angriffen an die wertvollen Codes.

SS7-Lücken gefährden auch andere Dienste
Doch nicht nur beim Online-Banking, sondern auch an anderen Stellen droht Gefahr durch das unsichere SS7-Protokoll im Mobilfunk. Wer seine Online-Konten bei Facebook, Google oder Apple durch die Hinterlegung seiner Handynummer vor Angriffen zu schützen versucht, kann nicht mehr sicher sein, dass sich Hacker nicht über SS7-Angriffe Login-Codes für die Online-Konten ihrer Opfer beschaffen.

Wie "Heise" berichtet, werden die SS7-Schwachstellen, vor denen der Chaos Computer Club warnt, vereinzelt bereits ausgenutzt. In der Ukraine habe ein Provider festgestellt, dass Angreifer über das Protokoll Telefonate abgeschöpft haben. SS7 ist ein Protokoll aus den Achtzigerjahren und wurde zunächst bei der Festnetztelefonie eingesetzt, bevor es auch im Mobilfunk Anwendung fand. Tobias Engel vom Chaos Computer Club: "Jeder, der ein Handy in der Tasche hat, nutzt SS7 zumindest indirekt."