Datendiebstahl / Peripherie / Sicherheitslücke

Ist das mTAN Verfahren noch sicher?

Das mTAN Verfahren wurde in der letzten Woche für unsicher erklärt. Nicht nur das BSI haben die Meldung herausgegeben, auch zahlreiche andere Medien haben sich dem angeschlossen.  Aber was steckt hinter dem Angriff? Sind alle online Konten nun in Gefahr?

Um das mTAN Verfahren auszuhebeln ist viel Vorarbeit nötig!

Nein. Nicht alle Konten sind in Gefahr wenn man sich umsichtig verhält. Damit das mTAN Verfahren ausgehebelt werden kann ist nämlich ein erfolgreicher Phishing-Angriff Voraussetzung. Doch die geringen Hürden und die Deregulierung des SS7 Netzes – welches für Roaming, Rechnungsstellung und den SMS-Versand nötig sind und weltweit zum Einsatz kommt – bilden die Grundlage für den erfolgreichen Angriff auf das Konto.

So könnte ihr Konto geräumt werden, wenn das mTAN Verfahren genutzt wird.

Der Angreifer braucht ihr Zugangsdaten zum online Banking. An diese Informationen gelangt der Angreifer, in dem er mit Phishing Mails arbeitet. Dabei werden nicht nur die Zugangsdaten abgefragt – sondern auch die Handynummer. Im Gegensatz zu den Zugangsdaten zum online Banking empfinden (gefühlt) viele die Handynummer nicht als sensible Informationen. Doch um die SMS abzufangen, ist sie unbedingt nötig.

Ist der Phishing-Angriff erfolgreich – und der Angreifer im Besitz von Zugangsdaten und Handynummer – wird mithilfe des SS7 Netzes, bei dem sich der Angreifer für wenige Tausend Euro als Mobilfunkanbieter registrieren lassen hat, eine Umleitung für die Handynummer eingerichtet. Jetzt hat der Angreifer alle nötigen Informationen um online Banking in Ihrem Namen durchzuführen. Wir fassen zusammen was nötig ist:

  • Sie müssen auf einen Phishing Angriff hereinfallen
  • Der Angreifer benötigt ihre Zugangsdaten
  • Der Angreifer benötigt ihre Handynummer, auf der die mTAN gesendet werden
  • Der Angreifer muss auf das SS7 Netz zugreifen können

Da Sie die mTANs nach wie vor empfangen, finden die Angriffe auf das Bankkonto häufig nachts statt.

You are currently viewing a placeholder content from Default. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

More Information

Das mTAN Verfahren kann in den Ruhestand – es gibt Alternativen!

Jetzt könnte man die Zugangskontrollen für das SS7 Netz erhöhen, um mTAN wieder sicher zu machen. Voraussichtlich wird dies auch geschehen – doch am mTAN Verfahren sollte man nicht unnötig festhalten. Um auch in Zukunft beim online Banking gut aufgestellt zu sein, verabreden Sie einen Termin mit dem Bankberater Ihres Vertrauens. Eine gern genutzte Alternative ist z.B. das ChipTAN Verfahren.

Meine Meinung zum mTAN Verfahren.

Die Aushebelung einer Zwei-Faktor-Authentifizierung ist schon mit viel Aufwand verbunden. Aber der Angriff zeigt, dass auch diese Verfahren durchaus angegriffen werden kann. In der Vergangenheit gab es aber auch andere Angriffe die erfolgreich waren. Schäden werden aber häufig von den Banken reguliert.

Da ein erfolgreicher Phishing-Angriff Voraussetzung für den Angriff ist, muss man nicht hektisch werden. Eine erhöhte Sensibilität beim Umgang mit dem online Banking ist aber angebracht. Ein Wechsel zum ChipTAN Verfahren macht aber durchaus Sinn. Vom PushTAN Verfahren rate ich grundsätzlich ab.

Weitere Informationen und Quellen

[1] Schwachstellen im Mobilfunknetz: Stellungnahme des BSI (bsi.bund.de)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.