Onlinebanking: Hacker räumen Konten leer

SMS kommt, Geld geht

16.05.2017

Kaum noch jemand tätigt Überweisungen am Schalter. Manche gehen vielleicht noch an den Automaten, aber auch den löst das Onlinebanking mehr und mehr ab. Doch das Konto im Internet ist anfällig für Hacker.

Egal ob ein neues Fahrrad, der langersehnte Urlaub oder ein schickes Essen mit dem Partner – wenn man auf etwas spart, ist jeder Cent wichtig. Ist dann das mühsam ersparte Geld vom einen auf den anderen Tag einfach vom Konto verschwunden, tut das natürlich weh.

Diese Erfahrung mussten einige Bankkunden Anfang des Jahres machen. Hacker hatten sich zunächst über sogenannte Phishing-Mails die Zugangsdaten zu ihrem Onlinebanking besorgt und dann eine Überweisung angelegt.

Jede Überweisung muss erst über das TAN-System verifiziert werden. Viele nutzen beim Onlinebanking heute das mobile TAN-System, bei der einem der Zahlencode per SMS zugesandt wird. Diese SMS wurden von den Hackern abgefangen. Anschließend stand der Überweisung nichts mehr im Weg.

Was ist das SS7-System?

Das System, das Mobilfunkanbieter nutzen, um zum Beispiel Anrufe und SMS problemlos von einem Netz ins andere weiterzuleiten, nennt sich SS7. Zugang zum SS7-System zu bekommen, ist inzwischen relativ leicht. Schon für mehrere hundert Euro im Monat können private Anbieter sich einwählen. Innerhalb dieses Systems gibt es allerdings kaum Sicherheitsbarrieren.

SS7-interne Anfragen werden häufig ohne eine Kontrolle abgesegnet. Der Kunden hat damit zum Beispiel die Möglichkeit, unkompliziert im Ausland zu telefonieren. Ist man erstmal im System drin, ist es nicht schwer, Anrufe umzuleiten und mitzuhören oder eben SMS zu lesen. Genau das machten sich die Hacker zunutze.

Onlinebanking: Probleme sind bekannt

Banken und Kreditinstitute zeigen sich überrascht. Man war offenbar davon ausgegangen, dass die Mobilfunkanbieter ihre Systeme ausreichend verschlüsseln. Diverse Fachleute sowie das Bundesamt für Sicherheit in der Informationstechnik warnen allerdings schon länger vor Lücken in den SS7-Protokollen und raten von der Nutzung des mobilen TAN-Systems ab.

Man muss an der Stelle die Diskussion jetzt nutzen, um zu schauen, ob dieses Verfahren an sich überhaupt so sicher ist, wie uns die Banken das verkaufen wollen. – Falk Garbsch, Chaos Computer Club

Ist Onlinebanking also gar nicht sicher? Oder liegt das Problem bei den Mobilfunkanbietern? detektor.fm-Moderatorin Sara Steinart hat mit Falk Garbsch gesprochen. Er ist Sprecher des Chaos Computer Clubs. Dieser befasst sich unter anderem mit Fragen der Computersicherheit.

falk-garbsch-cccDie Banken gehen natürlich zunächst davon aus, dass der Kunde die Überweisung selbst getätigt hat. Später dann nachzuvollziehen und nachzuweisen, dass jemand einen Angriff durchgeführt hat, ist relativ schwierig.Falk Garbschist Sprecher des Chaos Computer Clubs.