Hackerangriff: So knacken Kriminelle Online-Konten

Viele Bundesbürger erledigen ihre Bankgeschäfte heute im Internet. Doch wie sicher ist das Online-Banking? Kunden sind offenbar nicht ohne Grund skeptisch. Kriminellen ist es gelungen, durch einen ausgefeilten Trick Online-Konten zu knacken und Geld auf ihre Konten umzuleiten. Betroffen ist ein Verfahren, bei dem die für Online-Überweisungen nötige Transaktionsnummer per Mobiltelefon empfangen wird. Hacker haben es geschafft, die von Fachleuten als mTAN bezeichneten Nummern abzufangen. Dadurch konnten sie selbst Überweisungen veranlassen. Betroffen waren Bankkunden, die das Netz des Mobilfunkanbieters O2 nutzten, der zum spanischen Telefonica-Konzern gehört. Telefonica bestätigte die Vorfälle unserer Zeitung. Diese hätten Mitte Januar stattgefunden. Wie viele Kunden bei welchen Banken betroffen waren und welcher Schaden entstand, behält Telefonica mit Rücksicht auf laufende Ermittlungen und zum Schutz der Kunden für sich.

Hackerangriff war sehr aufwendig

Der Angriff war „sehr aufwendig“ und ist damit relativ selten, erklärt Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik. In einem ersten Schritt haben sich die Betrüger Zugang zu den Kontodaten verschafft. Dies geschah über einen sogenannten Phishing-Angriff: Die Kunden werden dazu verführt, zum Beispiel auf Links in gefälschten Bank-Mails zu klicken. In einem Fenster sollen sie dann persönliche Daten angeben, sodass die Betrüger Zugang zu Kontodaten, Passwörtern und Handynummern bekommen. „Kriminelle wollen damit Geld verdienen“, sagt Wagner. Phishing sei aber nicht neu und komme immer wieder vor.

Interessant war der zweite Schritt der Betrüger. Diese nutzten eine Schwachstelle im System aus, über das sich Mobilfunkanbieter abstimmen – das sogenannte SS7-Protokoll. Die Hacker verschafften sich dazu Zugang und konnten Anrufe der O2-Kunden so auf eine eigene Telefonnummer umleiten. Der Angriff habe dazu geführt, „dass eingehende SMS für vereinzelte Rufnummern unbefugt umgeleitet wurden“, bestätigt Telefonica. „Dies hat auch das mTAN-Verfahren dieser Rufnummern betroffen.“ Der Zwischenfall gilt als Skandal: Nach Informationen der Süddeutschen Zeitung war das Sicherheitsproblem seit zwei Jahren bekannt.

Inzwischen sei die Lücke geschlossen worden, versichert Telefonica: „Wir haben seinerzeit umgehend auf den Angriff reagiert, den Provider gesperrt und die Kunden informiert.“ Das Bundesamt für Sicherheit in der Informationstechnik ist da etwas vorsichtiger: „Das SS7-Protokoll ist relativ alt und weltweit im Einsatz“, warnt Sprecher Wagner. „Damit ist nicht ausgeschlossen, dass Angreifer neue Schwachstellen finden.“ Wie kann sich der Kunde also schützen?

Sicherheitsexperten empfehlen TAN-Generator

Sparkassen, Volks-, Raiffeisen- und Privatbanken haben sich unter dem Dach der Deutschen Kreditwirtschaft zusammengeschlossen. Dort versichert man, stets an höherer Sicherheit zu arbeiten. „Aber auch der Kunde muss seine Sorgfaltspflichten beachten“, mahnt die Kreditwirtschaft. Er muss darauf achten, nicht zum Opfer von Phishing zu werden. Prinzipiell hält der Verband das mTAN-Verfahren aber für sicher. Dagegen warnt die Verbraucherzentrale, dass es Kriminellen mehrfach gelungen sei, genau dieses Verfahren zu knacken.

Das Bundesamt rät, auf den Einsatz von mTAN-Verfahren ganz zu verzichten. Es empfiehlt stattdessen den Einsatz von TAN-Generatoren: Kleine Geräte, die gegen ein flackerndes Feld auf dem Bildschirm gehalten werden, bis eine TAN erzeugt wird. Dieses Verfahren sei erheblich sicherer.