http://www.faz.net/-gv6-8xh4j
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER
F+ Icon
F.A.Z. PLUS
abonnieren
F.A.Z.-Index -- --
DAX ® -- --
Dow Jones -- --
EUR/USD -- --

Veröffentlicht: 04.05.2017, 12:33 Uhr

Internetkriminalität Hacker stehlen Geld mit Schwachstelle im Handy

Mit einem Angriff auf mobile Tan-Codes im Online-Banking haben Kriminelle Konten geplündert. Doch die Schuld trifft mal nicht die Banken. Wer ist verantwortlich?

von
© Getty Interessantes Objekt für Datenfischer: Gefährliche Zahlenübermittlung per Smartphone

Einige deutsche Kunden von Telefonica sind im Januar Opfer eines Hackerangriffes geworden, der dazu benutzt wurde, Geld von Bankkonten zu stehlen. Unklar ist dabei, wie viele Kunden betroffen sind und wie hoch der entstandene Schaden ist. Sowohl die Behörden als auch die betroffenen Banken und der Netzanbieter Telefonica geben keine weiteren Informationen heraus. „Die polizeilichen Ermittlungen laufen noch, wir stehen in engem Kontakt mit den Behörden und Bankinstituten. Um die Ermittlungen nicht zu gefährden und um unsere Kunden zu schützen, können wir keine detaillierten Auskünfte geben“, teilte Telefonica auf Anfrage dieser Zeitung mit. Dass der Angriff erfolgreich war, hat das Unternehmen indes bestätigt.

Jonas Jansen Folgen:

Ausgeführt wurde die Hacker-Attacke mit dem sogenannten mTan-Verfahren, das Banken bei der Überweisung im Online-Banking anbieten. Dabei wird den Kunden auf ihr Mobiltelefon eine Tan-Nummer geschickt, die sie eingeben müssen, um die Überweisung abzuschließen. Sie gilt als zweiter Sicherheitsschritt nach der Identifizierung mittels der Kontonummer und einem Passwort für das Online-Banking. Doch wenn die Kurzmitteilungen mit der Tan nicht bei denen auf dem Handy landen, denen das Konto gehört, sondern bei Kriminellen, die sich Zugang auf das Konto der Opfer verschafft haben, können diese das gesamte Konto leerräumen, falls es kein Überweisungslimit gibt. Das Bundesamt für Sicherheit in der Informationstechnik rät schon länger von der mobilen Tan ab und empfiehlt stattdessen die sogenannten Tan-Generatoren für das Online-Banking.

„Selbst verteidigen“

Die Schuld trifft in diesem Fall allerdings nicht die Banken, sondern den Mobilfunkbetreiber, der eine bekannte Sicherheitslücke in seinem Netz nicht beseitigt hat. Zuerst hatte die Süddeutsche Zeitung über diesen Fall berichtet, ihr lag die Bestätigung mehrerer betroffener Bank- und Mobilfunkkunden vor. Möglich wurde der Betrug dadurch, dass sich Kriminelle zuerst Zugriff auf das Online-Konto verschafft haben. Das machen sie in der Regel mit sogenannten Phishing-Mails, also gefälschten E-Mails, die vermeintlich von der Bank stammen und in denen die Empfänger aufgefordert werden, ihre Daten einzugeben. Wer an Millionen von E-Mail-Adressen solche Phishing-Mails schickt, erwischt regelmäßig Nutzer, die für einen Moment abgelenkt oder unaufmerksam sind und ihre Passwörter und Mobilfunknummern eingeben und die Kontrolle verlieren.

Mehr zum Thema

Das war allerdings nur der erste Schritt in dem Betrug, denn für eine tatsächliche Überweisung brauchte es noch die Tan. Die Schwachstelle, die von den Hackern ausgenutzt wurde, liegt im SS7-Netzwerk. Das steht für Signalling System 7, darüber tauschen die Mobilfunkunternehmen Daten aus, etwa wenn man im Ausland telefoniert, SMS in andere Netze schickt oder das Smartphone die Funkzelle wechselt, wenn man in Bewegung ist. Das Protokoll stammt aus dem Jahr 1975, es wurde einst für staatliche Kommunikationsdienstbetreiber wie die Bundespost entwickelt.

Unbenanntes Dokument

Die neue digitale Zeitung F.A.Z. PLUS

Die ganze F.A.Z. in völlig neuer Form, mit zusätzlichen Bildern, Videos, Grafiken, optimiert für Smartphone und Tablet. Jetzt gratis testen.

Nach heutigen Sicherheitsstandards gilt es nicht mehr als zeitgemäß, trotzdem wird es weiterhin rund um die Welt eingesetzt. Der Mobilfunkbranchenverband GSMA hat zwar eine eigene sogenannte „Betrugs- und Sicherheits-Gruppe“ installiert, die sich aus Mitarbeitern verschiedener Netzbetreiber zusammensetzt und an der Sicherheit des SS7-Protokolls forscht. Doch eine branchenübergreifende Regelung steht noch aus. Eigentlich unterliegt der Zugang zu diesem Netz und die Nutzung strengen Regeln, doch immer wieder kommt es vor, dass Netzbetreiber Zugänge an Dritte verkaufen oder sie selbst zur Datensammlung nutzen.

Besonders heikel dabei ist: Die Schwachstelle, die Hacker nun ausgenutzt haben, ist schon seit Dezember 2014 bekannt. Damals hatte der deutsche Kryptologe Karsten Nohl auf einem Kongress des Chaos Computer Clubs vorgeführt, wie man Zugriff auf fremde Mobilfunkgeräte bekommt. „Es wird höchste Zeit, dass wir aufhören, uns zu beschweren, und uns selbst verteidigen“, sagte er damals. Die Banken sind offenbar davon ausgegangen, dass sich die Mobilfunkbetreiber um die Schwachstelle kümmern. Das ist nicht immer der Fall. Telefonica teilt mit, die Sicherheit ständig zu überprüfen: „Dies ist technisch sehr komplex, so kommen neueste taugliche SS7-Firewalls für die allgemeine Absicherung der SS7-Schnittstelle gerade erst auf den Markt.“ Solch eine Firewall kommt etwa von der Telekom, die sie als Schutz Anfang des Jahres eingebaut hat. Nach Telekom-Angaben seien ohnehin keine ihrer Kunden davon betroffen gewesen, weil das Unternehmen seit Bekanntwerden der Schwachstelle solche Angriffe abwehren könne.

Bundesvergleich Berlin hat die schnellsten Finanzämter

Vielleicht liegt es an der Berliner Luft, aber die Finanzämter sind hier schnell mit den Steuererklärungen durch. Am beliebtesten sind die Ämter allerdings in Rheinland-Pfalz. Mehr 7

Name Kurs %
F.A.Z.-Index -- --
DAX ® -- --
Dow Jones -- --
EUR/USD -- --
Gold -- --

Abonnieren Sie „Finanzen“

Zur Homepage