Die Tücken des Online Bankings
Nach dem Angriff auf das Netz des Telekommunikations-Anbieters O2 stellen sich viele Fragen: Wie sicher ist das Tan-Verfahren? Und vor allem: Wer haftet im Schadensfall?
Das von vielen Bankkunden verwendete M-Tan-Verfahren galt bislang als zuverlässig. Nach dem aktuellen Betrugsfall (wir berichteten) herrscht jedoch weiter Verunsicherung. Denn Internetbetrügern ist es gelungen, das M-TanVerfahren auszuhebeln und etliche Online-Bankkonten zu plündern.
Betroffen waren Kunden des Telekommunikationsunternehmens O2. „Ein krimineller Angriff aus dem Netz eines ausländischen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelte Rufnummern in Deutschland unbefugt umgeleitet wurden“, teilte das Unternehmen dazu mit.
Dass es sich um eine altbekannte Schwachstelle im sogenannten SS7-Netzwerk handelt, bringt den Telekommunikationsriesen aber in Erklärungsnot. Zwar hat das Unternehmen die Sicherheitslücke bereits behoben, doch Experten sind sich uneins, ob das M-Tan-Verfahren tatsächlich noch sicher ist. Sie empfehlen Alternativen. Hier die wichtigsten Fragen und Antworten zu diesem Thema:
Wie sicher ist das M-Tan-Verfahren?
Beim sogenannten M-Tan-Verfahren müssen sich Bankkunden mit ihrer Mobilfunknummer bei ihrer Bank oder Sparkasse anmelden. Das Geldhaus verschickt bei jeder Überweisung die entsprechende TanNummer per SMS auf das Handy des Kunden. Nach den jüngsten Hacker-Angriffen steht diese Methode allerdings auf dem Prüfstand. Die deutsche Kreditwirtschaft spricht von einem „Einzelfall“und weist darauf hin, „dass die M-Tan ein technisch sicheres Legitimationsverfahren beim Online-Banking ist“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht das anders. „Auf die Schwachstelle im SS7-Protokoll weisen wir schon seit einigen Jahren hin“, kritisiert BSI-Präsident Arne Schönbohm. Die Bundesbehörde empfiehlt Verbrauchern, auf das M-Tan Verfahren zu verzichten.
Welche anderen Tan-Verfahren sind empfehlenswert?
Bankkunden haben in Sachen On- eine breite Auswahl. Ob M-Tan, Push-Tan oder PhotoTan: Bei der Fülle von Legitimationsverfahren können Verbraucher schnell den Überblick verlieren. Chris Wojzechowski, Projektleiter am Institut für Internet-Sicherheit, empfiehlt Verbrauchern das sogenannte Chip-Tan-Verfahren. Bei dieser Methode wird die Tan-Nummer mit einem speziellen Lesegerät erstellt. „Wer hauptsächlich OnlineBanking von zu Hause betreibt, ist mit dem Chip-Tan-Verfahren auf der sicheren Seite“, rät Wojzechowski. Für noch sicherer stuft der IT-Experte das HBCI-Verfahren ein, das auch mit einem Chipkartenleser funktioniert: „Da diese Methode von Verbrauchern kaum genutzt wird, ist das Interesse von Internetkriminellen, hier aktiv zu werden, eher gering.“Das Verfahren HBCI (Homebanking Computer Interface) basiert auf einer ver- schlüsselten Kommunikation zwischen Bank und Kunde über eine spezielle Chipkarte.
Ist die Push-Tan-Methode sicher?
Von diesem Verfahren sollten Bankkunden lieber die Finger lassen. „Da wird die Zwei-Faktoren-Sicherheit aufgebrochen. Überweisungen laufen bei diesem Verfahren nur über ein Endgerät, eben das Smartphone. Die Praxis zeigt jedoch, dass die Apps mit Schadsoftware ausspioniert werden können“, warnt Experte Wojzechowski.
Wer haftet im Schadensfall?
„Grundsätzlich haftet die Bank für jede Überweisung, die nicht direkt vom Bankkunden autorisiert wurde. Sie kann aber Schadensersatzansprüche geltend machen. Bei grober Fahrlässigkeit kann die Bank sogar die komplette Schadenssumme verlangen“, warnt der IT-Rechtsexperline-Banking te Christian Solmecke. Als grobe Fahrlässigkeit gilt bereits, wenn Bankkunden eine veraltete Virensoftware auf dem Rechner installiert haben. Im aktuellen Fall handelt es sich um eine Schwachstelle im sogenannten SS7-Netzwerk, die bereits seit 2014 öffentlich bekannt ist. „Trotz dieser Kenntnis wurde die Schwachstelle von O2-Telefonica weder behoben noch gemeldet. Im Verhältnis zum Kunden ist darin eine schuldhafte vertragliche Pflichtverletzung zu sehen. Es ist daher wahrscheinlich, dass am Ende O2 für die entstandenen Schäden einstehen muss“, so das Urteil von Experte Solmecke.