Finance IT


BSI gibt 3 Sicherheitstipps

mTAN-Nummern auf Handys ausgelesen

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Eine neue Malware-Variante liest beim Online-Banking mTan-Nummern mit. Wie das Ausspähen funktioniert, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Bei der Postbank zum Beispiel wird das Online-Banking ab Mitte April 2011 papierlos. Die mobileTAN per SMS ersetzt die herkömmliche TAN-Liste.
Bei der Postbank zum Beispiel wird das Online-Banking ab Mitte April 2011 papierlos. Die mobileTAN per SMS ersetzt die herkömmliche TAN-Liste.
Foto: Postbank

In der Diskussion um die Sicherheit von Online-Banking liegen dieser Tage die Pessimisten wieder vorn. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, warnt jedenfalls vor neuer Schad-Software. Diese können mTAN-Nummern mitlesen.

Das Kürzel TAN steht für Transaktionsnummer und bezeichnet ein Einmal-Passwort, das üblicherweise aus sechs Dezimalziffern besteht. Bei der Mobile TAN (mTAN) werden solche Nummern für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann zum Beispiel eine Online-Überweisung legitimiert.

Dieses Verfahren gilt allgemein als sicherer. Im September vorigen Jahres jedoch berichtete der Security-Dienstleister S21sec in seinem Blog, neue Varianten des Banking-Trojaners ZeuS nähmen mobile TAN ins Visier.

Erst wird der PC infiziert

Das BSI spricht jetzt von MalwareMalware, die zunächst PCs infiziert. Wenn der Nutzer dann eine Online-Banking-Webseite aufruft, werden zusätzliche Felder oder Nachrichten eingeblendet. Diese sind in der Optik der Webseite der Bank gehalten und fordern den User auf, seine Mobilfunknummer sowie sein Handymodell oder die IMEI-Nummer (International Mobile Equipment Identity) einzugeben, um einen Link für ein angeblich notwendiges Zertifikats-Update zu erhalten. Alles zu Malware auf CIO.de

Zur Startseite