Hackerangriffe aufs mTAN-Verfahren So schützen Sie sich beim Onlinebanking

Mit einem komplexen Angriff ist es Kriminellen offenbar gelungen, Geld von fremden Konten zu erbeuten. Hier sind sechs Tipps, wie Sie sich gegen solche Attacken schützen.

In den vergangenen Monaten ist es Hackern gelungen, Geld von fremden Bankkonten zu erbeuten. Dies gelang ihnen laut einem Bericht der "Süddeutschen Zeitung", indem sie unter anderem eine Schwachstelle im Mobilfunknetz ausgenutzt haben. Betroffen waren Kunden, die sich die Transaktionsnummern (TANs) für Überweisungen per SMS aufs Handy schicken lassen.

Dieses sogenannte mTAN-Verfahren galt lange als sicher - jedenfalls, solange die Bankgeschäfte selbst nicht auf dem gleichen Handy ausgeführt werden, sondern auf einem anderen Gerät. Doch selbst dann gelang es Angreifern bereits 2015, Zehntausende Euro von fremden Konten abzubuchen.

Die Hacker hatten sich damals per Spähsoftware Zugang zum Onlinebanking ihrer Opfer verschafft und sich eine zweite Sim-Karte auf die Namen der Opfer bestellt, um so die SMS mit den TANs empfangen zu können. Ein sehr gezielter Angriff also.

Die Hacker brauchen auch das Passwort

Der aktuelle Angriff ist noch etwas komplexer: Die Hacker brauchen die Kontonummer, das Passwort fürs Onlinebanking und die Handynummer des Opfers. Daran kommen sie mithilfe von Phishing-E-Mails, betrügerische E-Mails, die arglose Nutzer dazu verleiten sollen, ihre Bankdaten irgendwo einzugeben - im Glauben, es handele sich um die Seite ihrer Bank.

Um auch noch auf die für Überweisungen benötigte TAN aufs Handy zu kommen, nutzten die Angreifer offenbar eine Schwachstelle im weltweiten Roaming-Netzwerk. So schafften sie es, eine entsprechende Rufnummernumleitung einzurichten und schließlich die entsprechende SMS abzufangen.

Solche Angriffe klingen arg theoretisch, und die Möglichkeiten sind der Branche längst bekannt. Nun ist es laut der "Süddeutschen Zeitung" zu konkreten Betrugsfällen gekommen, das berichteten "mehrere Personen" anonym. Wie viele es sind und um welche Banken es geht, wird nicht gesagt. Es heißt aber, die Angriffe seien über die Rufnummerumleitung bei O2 möglich gewesen; beim Angriff im Jahr 2015 waren übrigens Telekom-Kunden betroffen.

So schützen Sie sich vor solchen Angriffen

Selbstverständlich müssen Provider und Banken ihre Kunden beim Onlinebanking schützen. Das klappt offenbar nicht immer. Doch auch die Kunden selbst können mithelfen, das Risiko von Angriffen beim Onlinebanking zu verkleinern. Hier sind sechs Tipps:

1. Vorsicht vor seltsamen E-Mails Ihrer Bank: Niemals wird Ihre Bank Ihnen eine E-Mail schreiben und Sie nach Daten wie Kontonummer, Passwort oder Telefonnummer fragen. Sie wird Sie auch auf diesem Weg nicht bitten, sich irgendwo einzuloggen. Verdächtige E-Mails, die unaufgefordert ankommen, sollte man am besten gar nicht erst öffnen.

Wer sich bei bestimmten E-Mails oder Nachrichten unsicher ist, ob sie wirklich von der Bank stammen, sollte am besten einfach beim jeweiligen Institut anrufen und nachfragen. Das gilt übrigens auch, wenn Sie einen Anruf oder einen Brief bekommen haben, in denen nach Ihren Kontoinformationen gefragt wird.

2. Vorsicht bei Links: Bei einem sogenannten Phishing-Angriff wird etwa die Website der Bank täuschend echt nachgebaut und das Opfer dazu verleitet, sich einzuloggen und so seine Daten preiszugeben. Um sich zu schützen, sollte man auf solche Links in E-Mails gar nicht erst klicken: Die Website der Bank lässt sich schließlich auch anders aufrufen. So fällt man nicht auf eine möglicherweise gefälschte Seite herein.

3. Vorsicht bei Apps: Über Smartphones oder Tablets gibt es weitere Angriffswege, bei denen Kriminelle online gefälschte Apps zur Verfügung stellen, die nur vermeintlich von der Bank stammen. Wer diese Apps installiert, spielt Schadsoftware auf, über die Angreifer ebenfalls an wichtige persönliche Daten gelangen können. Hier hilft es nur, darauf zu achten, die richtige App-Version zu erwischen. Dazu sollten Apps nicht über Drittseiten, sondern über die offiziellen App-Stores heruntergeladen werden.

4. Vorsicht vor Spähsoftware: Wie auch bei allen anderen Belangen am Rechner gilt auch fürs Onlinebanking: Halten Sie Ihren Computer möglichst aktuell, installieren Sie alle wichtigen Updates und führen Sie regelmäßig einen Virenscan durch. Das muss nicht helfen, kann aber.

5. Vorsicht bei der Wahl des TAN-Verfahrens: Die TAN per SMS aufs Handy zu bekommen, ist bequem und kostenlos - bietet allerdings auch gewisse Risiken. Als sicherer gilt bei Experten das Verfahren, bei dem die TAN mit Hilfe der EC-Karte auf einem eigenen kleinen Gerät erstellt wird (TAN-Generator). Allerdings kosten die Geräte oft Geld (meist einmalig zwischen 10 und 15 Euro), weshalb sich manche Kunden dagegen entscheiden. Auch finden es viele Menschen umständlich, ein eigenes Gerät für Überweisungen zu benutzen.

6. Vorsicht beim Überweisen: Welches TAN-Verfahren man auch nutzt - schiefgehen kann wohl immer etwas. Nicht ohne Grund muss man auch auf einem TAN-Generator noch einmal bestätigen, an welche Kontonummer welcher Betrag überwiesen werden soll.

Wie bequem das Onlinebanking bei Ihrer Bank also auch sein mag: Eine Transaktion sollte Ihnen immer ein paar Minuten Ihrer Konzentration wert sein. Ein unbedachter Klick, eine fahrige Bestätigung ohne Gegencheck könnte jedenfalls ein Einfallstor für Angriffe sein. Es machte sogar schon ein Fall Schlagzeilen, in dem eine Kundin auf einem Schaden sitzen blieb, weil sie offenbar den abgefragten Informationen beim Überweisen nicht genug Beachtung geschenkt hatte.

