Mobile TAN Verfahren der Deutschen Postbank AG geknackt

Ratgeber - Bankrecht Mehr zum Thema: Bankrecht, Bankrecht, Online-Banking, Phishing, TAN, mobile

Der Journalist Harald Freiberger berichtete in der Süddeutschen Zeitung am 20. Oktober 2015 von der Betrugsserie beim Online-Banking in dessen Mittelpunkt das Verfahren mit mobilen Transaktionsnummern (mobile Tan) steht. Von der Berichterstattung betroffen sind die Deutsche Postbank AG und der Mobilfunkanbieter Deutsche Telekom AG, die Opfer von Sicherheitslücken beim mobilen Tan-Verfahren bzw. beim unautorisierten Zugriffe auf Mobilfunkgeräte geworden seien. Grund genug für ilex Rechtsanwälte, die sich stellenden Rechtsfragen beim Phishing (Passwörter fischen) und bei der Nutzung des mobile TAN Verfahren zu beantworten.

 

Wie lautet der Sachverhalt?

Die Süddeutsche Zeitung hat einen ihr bekanntgewordenen Fall, bei dem unautorisiert 30.000,- EUR abgebucht worden seien, herausgegriffen und exemplarisch daran geschildert, wie es den Tätern gelingt, dass mobile TAN Verfahren (mobile TAN) oder das so genannte SMS-TAN Verfahren auszuhebeln. Für die davon betroffene Deutsche Postbank AG und auch für den Mobilfunkanbieter Telekom Deutschland GmbH, die das dazugehörige Mobilfunkgerät anbot, ist dies eine unangenehme Berichterstattung, die in der Tat Versäumnisse offenlegt. Allerdings sind diese Versäumnisse seit Jahren bekannt und mit dieser Berichterstattung war zu rechnen. Der Ablauf der Betrugsmasche ist jedenfalls alles andere als neu. Ilex kennt die Fälle mit den Angriffen auf die Sicherheit des mobilen TAN Verfahren (SMS-TAN) seit mehreren Jahren und steht längst mit einer Vielzahl solcher Verfahren vor Gericht.

Bekommen die Betrugsopfer ihr Geld ersetzt?

Sofern davon ausgegangen wird, dass die betroffenen Bankkunden in jedem Fall ihr Geld zurückbekommen, ist dies ein Trugschluss. Ansonsten gäbe es die Gerichtsverfahren bei den Angriffen auf das mobile TAN Verfahren gar nicht. Aktuell sind mehrere allein von der Kanzlei ilex betreute Gerichtsverfahren zum Abgreifen beim mobilen TAN Verfahren bei unterschiedlichen Gerichten anhängig.

Wie läuft das mobile TAN Verfahren ab?

Bei dem mobilen TAN Verfahren handelt es sich um ein so genanntes Zwei-Wege-TAN-Verfahren. Möchte der Bankkunde eine SEPA-Überweisung vornehmen, stellt er zunächst die Online-Verbindung über das Internet zu seiner Bank her. Er tippt die Überweisungsdaten ein und fordert zur Freigabe dieser konkreten Überweisung die darauf abgestimmte TAN an. Jetzt gibt es einen zweiten Kommunikationsweg, der gesondert über das Mobilfunkgerät läuft. Der Server der Bank sendet nun auf die vom Bankkunden einmal hinterlegte Mobilnummer eine SMS, in der die indizierte Transaktionsnummer (TAN) zu finden ist, damit der Bankkunde die für den konkreten Zahlungsvorgang gedachte Banküberweisung freigeben kann. Diese TAN soll der Bankkunde wiederrum auf dem zweiten Weg, dem Online Banking eingeben, um die von ihm gewollte Überweisung freizugeben.

Wie schaffen es die Täter, das System zu missbrauchen?

Der erste Schritt besteht stets darin, das Verhalten des betroffenen Bankkunden auszuspähen und wesentliche Daten abzugreifen. Grundsätzlich sind hierzu drei Varianten vorstellbar. Die häufigste Variante besteht darin, sich mit einer Schadsoftware in den Computer des Bankkunden einzuhacken (trojanisches Pferd). Eher selten ist dagegen die Variante, die Internetknotenrechner zu scannen. Grundsätzlich ist es auch möglich, dass es sich um eine Innentäterattacke handelt und die Täter den Server der Bank manipuliert haben. In jedem Fall aber haben die Täter Zugriff irgendwo in der Mitte zwischen dem Server der Bank und dem Bankkunden. Auf diese Weise kontrollieren sie den Datenverkehr und man spricht von einem „Man-in-the-Middle-Angriff"; also von dem „dritten Mann" mitten im Datenverkehr zwischen dem Server der Bank und dem Bankkunden.

Wie sehen die Einzelheiten aus?

Den Tätern gelingt es dabei, dass Online-Konto auszukundschaften und das Zugangspasswort mitzulesen. Ferner beschaffen sie sich die Mobilnummer des Kunden, die möglicherweise irgendwo im Impressum einer Mail des Kunden zu finden ist und sie lesen ggf. das Zugangskennwort beim Mobilfunkanbieter aus. Sobald die Täter diese Daten beisammen haben, ist es nicht mehr schwer, sich mitten in einer regulären Online-Banking-Sitzung in den Datenverkehr zwischen Bank und Bankkunde einzumischen. Der Bankkunde möchte beispielsweise eine autorisierte SEPA Überweisung an A über 50 EUR vornehmen und diese wandeln die Täter nun in eine nichtautorisierte SEPA Überweisung an B über 15.000 EUR um. Nur die nichtautorisierte Überweisung an B über 15.000 EUR kommt dann am Server der Deutschen Postbank AG an. Dann schickt der Server der Bank nach der Überprüfung der Zugangsparameter eine dazu individuell und nur für diese eine Zahlungsanweisung indizierte TAN per SMS auf die hinterlegte Mobilnummer des Bankkunden.

Wie gelangen die Täter an die SMS für den Bankkunden?

Dies ist möglich, wenn die Täter mit Hilfe der zuvor abgegriffenen Zugangsdaten beim Mobilfunkanbieter kurzfristig eine Umleitung der SMS auf ein unter falschem Namen laufendes Prepaid-Handy der Täter einrichten konnten. Dann landet die SMS mit der TAN in diesem Augenblick bei den Tätern. Sie füttern nun ihre Schadsoftware mit dieser Information der indizierten TAN und die Schadsoftware autorisiert innerhalb von Sekunden die nicht nichtautorisierte Zahlungsanweisung an B gegenüber dem Server der Bank. Dann führt der Server die Zahlungsanweisung aus und das Geld ist vorläufig als Soll in das Konto des Bankkunden gebucht.

Was geschah in dem konkreten Fall?

In dem von der Süddeutschen Zeitung geschilderten Fall soll es sich so zugetragen haben, dass die Straftäter mit den ausgespähten Daten des Bankkunden den nächsten Telekom-Shop aufgesucht hätten, sich dort fälschlich als betroffener Kunde ausgegeben hätten und den angeblichen Verlust der SIM-Karte des betroffen Kunden gemeldet hätten. Auf diese Weise konnten sie offenbar mit Hilfe eines zuvorkommenden Kundenberaters unproblematisch eine Ersatz-Karte aktivieren. Die Folge war, dass alle per SMS übersandten TAN bei den Tätern landeten. Die Reaktion auf die bekanntgewordenen Fälle dieser Tatvariante soll laut Süddeutscher Zeitung darin bestanden haben, dass die Telekom Deutschland GmbH mittlerweile ihre „Maßnahmen zur Händleridentifikation verschärft" haben soll.

Ist das mobileTAN Verfahren nun sicherer geworden?

Ein absolut sicheres mobileTAN Verfahren können die Banken auch für die Zukunft nicht mit hundertprozentiger Sicherheit garantieren. Durch einzelne Verbesserungen wird die Gefahr des Missbrauch zwar verringert, aber keineswegs restlos ausgeschlossen. Der Fall, von dem die Süddeutsche Zeitung berichtet hatte, ist nur eine einzige Variante einer Vielzahl von Möglichkeiten, wie man Angriffe auf das mobile TAN Verfahren angehen kann. Allerdings ist zugunsten der Bank hinzufügen, dass das mobile TAN Verfahren oder SMS-TAN Verfahren ursprünglich einmal, jedenfalls im Zeitpunkt seiner Einführung, noch einen deutlichen Sicherheitsgewinn mit sich gebracht hat. Ursprünglich hat das mobile TAN Verfahren oder SMS-TAN Verfahren eine Verbesserung im Vergleich zu dem noch weitaus unsicheren indizierten TAN Verfahren oder iTAN-Verfahren mit sich gebracht hat.

Haftet die Bank uneingeschränkt für die Schäden?

Grundsätzlich haftet die Bank für den Schaden, wenn der Bankkunde die Überweisung nicht autorisiert hat, er die nicht autorisierte Zahlungsanweisung unverzüglich seiner Bank nach der Entdeckung meldet und ihm auch kein sonstiger wenigstens grob fahrlässiger Verstoß gegen die Pflicht zur Geheimhaltung der Bankzugangsdaten anzulasten ist. In der Praxis kommt es dabei auf die genauen Einzelheiten des konkreten Falles an.

Wie lautet die Rechtsprechung zum Thema Abgreifen von Zugangsdaten?

Im Bereich des Abgreifens von Zugangsdaten im Online Banking sind sehr viele Rechtsfragen noch gar nicht zu den höchsten Gerichten gelangt. Und die wenigen Urteile des für das Bankrecht zuständigen 11. Zivilsenat des Bundesgerichtshofes in Karlsruhe betreffen leider nicht die derzeit aktuellen Tatvarianten. Bis ein Fall vor dem Bundesgerichtshof anhängig ist und entschieden wird, vergehen mitunter Jahre. Insofern behandelt der Bundesgerichtshof gegenwärtig nur die Fälle, deren Tathandlungen schon vor vielen Jahren stattfanden und die aufgrund der Schnelllebigkeit bei der Einführung und Außerkraftsetzung neuer Online Banking Verfahren teilweise überholt sind. Sicherlich ist es nur eine Frage der Zeit bis auch der Bundesgerichtshof einen Fall des Abgreifens von Bankzugangsdaten beim mobile TAN Verfahren zu entscheiden hat.

Sind andere Online Banking Varianten sicherer?

Derzeit gibt es kein einziges Online Banking Verfahren mit einer hundertprozentigen Garantie der Sicherheit und angesichts der technisch teils sehr ausgereiften Tathandlungen, dürfte es trügerisch sein, dem Kunden eine solche Sicherheit vorzugaukeln. In der Praxis stürzen sich die Täter in der Masse allerdings nur auf die am wenigsten sicheren Online-Banking Verfahren. Zu den am leichtesten angreifbaren Verfahren gehört aber nicht das mobile TAN Verfahren, denn hier muss der Täter immerhin die Hürde überwinden, eine SMS umzuleiten. Als Bankkunde ist man gut beraten, sich für ein solches Online Banking zu entscheiden, welches in der aktuellen und seriösen Testbericht-Erstattung von anerkannten Prüfinstituten gut abschneidet.

Was ist den Banken zu raten?

Die Banken sind und bleiben die Systemanbieter für das Online-Banking und haben die Verpflichtung für ein sicheres Online Banking zu sorgen. Die Banken sollten daher vor allem in die eigene IT-Sicherheit investieren und bereits vorhandene Systeme beständig und kritisch hinterfragen. Die Gefahr bei Nachlässigkeiten in der Sicherheit besteht in der absehbaren Presseberichterstattung, die einen hohen Schaden darstellen kann, weil sie die Bank dem Ruf aussetzt, zu wenig für die Sicherheit ihrer Kunden getan zu haben. Dann können neue Kosten für ein zielführendes Reputationsmanagement entstehen, die im Vorfeld hätten verhindert werden können.

Wie ist die aktuelle rechtliche Lage?

Die ersten Betrugsfälle betrafen 2007 noch den Bereich von Aktiendepots mittels einer so genannten Sitzungs-TAN. Das heißt hier gab man eine nichtindizierte TAN aus seiner Liste als einmaliges Zugangskennwort ein und konnte dann bis zur Ausreizung des Verfügungsrahmens und bis zum Ende der Online-Sitzung alle möglichen Verfügungen quasi ungebremst vornehmen. Dieses System war für die Straftäter leicht zu überwinden. Danach wurden die Systeme verbessert und es gab für jede Transaktion zunächst die nichtindizierte PIN/TAN-Lösung. Als die Täter auch diese Hürde scheinbar mühelos überwanden, hat sich das Landgericht Nürnberg-Fürth im Jahre 2008 mit der Frage auseinandergesetzt, ob Banken im Jahre 2005 nicht bereits verpflichtet gewesen wären, das nichtindizierte PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen Eine Entscheidung traf jedoch erst das Kammergericht in einem von der Kanzlei ilex erwirkten Urteil (Az. 26 U 159/09) am 29.11.2010. Dort wurde klargestellt, dass Banken eine Verpflichtung haben, sichere Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren müssen, Bankzugangsdaten abzugreifen. Das Urteil besagte eindeutig, dass das ältere PIN/TAN-Verfahren zum damaligen Zeitpunkt längst überholt war.