[Technik] Bericht: SMS-TANs bei Online-Banking unsicher

Prince · 28.12.14, 14:18

Zitat:

SMS-TANs erfreuen sich bei Online-Banking-Nutzern großer Beliebtheit - zu Unrecht, wie derzeit auf dem Chaos Communication Congress festgestellt wird. So demonstrierten Redner auf dem Congress beispielsweise, wie sich Kurznachrichten mit der TAN-Verifizierung abfangen lassen - doch es gibt sichere Alternativen.

Das SMS-TAN-Verfahren wurde von Kriminellen in der Vergangenheit bereits erfolgreich ausgenutzt. Im Oktober 2013 gelang es Verbrechern, die SMS-TANs durch eine Ersatz-SIM-Karte abzufangen und so über 200.000 Euro zu stehlen. Auf dem Chaos Communication Congress im Hamburg kommt die Sicherheit von SMS-Verifizierungen jetzt erneut zur Sprache. Auf diesem werden UMTS-Verbindungen, und somit nicht nur das SMS-TAN-Verfahren, grundsätzlich als unsicher eingestuft.

So zeigte Tobias Engel im Rahmen eines Vortrags auf dem Congress, dass sich Kurznachrichten einfach abfangen lassen, ohne dass sich der Kriminelle in der Nähe des Mobiltelefons aufhalten muss. Noch leichter haben es Cyber-Kriminelle dank Continuity bei Apple-Systemen: Die Verknüpfung von Mobilfunk und PC lässt zwar Kurznachrichten auch auf dem PC empfangen, hebelt den Sicherheitsmechanismus aber quasi komplett aus. Wer guten Gewissens Online-Banking betrieben will, sollte daher auf alternative TAN-Verfahren zurückgreifen. Alternativen stellen beispielsweise das TAN-Verfahren mit TAN-Generator oder auch die physische, nummerierte TAN-Liste dar. Die Vorträge des Chaos Communication Congress werden aller Voraussicht nach bei CCC-TV hochgeladen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]