Mobiles TAN-Verfahren der Deutschen Postbank AG geknackt

Der Journalist Harald Freiberger berichtete in der Süddeutschen Zeitung am 20. Oktober 2015 von der Betrugsserie beim Online-Banking. Von der Berichterstattung betroffen sind die Deutsche Postbank AG und der Mobilfunkanbieter Deutsche Telekom AG, die Opfer von Sicherheitslücken beim mobilen Tan-Verfahren bzw. beim unautorisierten Zugriffe auf Mobilfunkgeräte geworden seien. Die Täter hätten in Dutzenden Fällen hohe, meist fünfstellige Beträge von den Konten der Geschädigten abgehoben und der geschätzte Schaden summiere sich auf mehr als eine Million Euro. Grund genug für ilex Rechtsanwälte die sich stellenden Rechtsfragen beim Phishing zu beantworten.

Was hat die Süddeutsche Zeitung berichtet?

Die Süddeutsche Zeitung hat einen ihr bekanntgewordenen Fall, bei dem unautorisiert 30.000,- EUR abgebucht worden seien, herausgegriffen und exemplarisch daran geschildert, wie es den Tätern gelingt, dass mobile TAN-Verfahren (mobile TAN) oder das sogenannte SMS-TAN Verfahren auszuhebeln. Für die davon betroffene Deutsche Postbank AG, die sich als eine der „Pioniere für Banking im Internet“ versteht und auch für den Mobilfunkanbieter Telekom Deutschland GmbH, die das dazugehörige Mobilfunkgerät anbot, ist dies eine unangenehme Berichterstattung, die in der Tat Versäumnisse offenlegt. Allerdings sind diese Versäumnisse schon länger bekannt und die Vorgehensweise der Täter ist keineswegs neu. Ilex kennt die Fälle mit den Angriffen auf die Sicherheit des mobilen TAN-Verfahren (SMS-TAN) seit mehreren Jahren und steht längst mit einer Vielzahl solcher Verfahren vor Gericht.

Bekommen die betroffenen Bankkunden ihren Betrugsschaden ersetzt?

Es kann nicht davon ausgegangen werden, dass die betroffenen Bankkunden in jedem Fall ihr Geld ersetzt bekommen. Ansonsten gäbe es die Gerichtsverfahren bei den Angriffen auf das mobile TAN-Verfahren gar nicht. Aktuell sind mehrere allein von der Kanzlei ilex betreute Gerichtsverfahren zum Abgreifen beim mobilen TAN-Verfahren bei unterschiedlichen Gerichten anhängig; zum Teil schon seit Monaten.

Was passiert beim mobilen TAN-Verfahren?

Bei dem mobilen TAN-Verfahren handelt es sich um ein sogenanntes Zwei-Wege-TAN-Verfahren. Möchte der Bankkunde eine SEPA-Überweisung vornehmen, stellt er zunächst die Online-Verbindung über das Internet zu seiner Bank her. Er tippt die Überweisungsdaten in das Online Banking Formular ein und fordert zur Freigabe dieser konkreten Überweisung die darauf abgestimmte TAN an. Nun gibt es einen zweiten Kommunikationsweg, der gesondert über das Mobilfunkgerät läuft. Der Server der Bank sendet nun auf die vom Bankkunden einmal hinterlegte Mobilnummer eine SMS in der die indizierte Transaktionsnummer (TAN) zu finden ist, damit der Bankkunde die für den konkreten Zahlungsvorgang gedachte Banküberweisung freigeben kann. Diese TAN soll der Bankkunde wiederrum auf dem anderen Weg, dem Online Banking eingeben, um die von ihm gewollte Überweisung freizugeben.

Wie gehen die Täter vor um die Bank zu überlisten?

Der erste Schritt besteht meistens darin, das Verhalten des betroffenen Bankkunden auszuspähen und wesentliche Daten abzugreifen. Grundsätzlich sind hierzu verschiedene Varianten vorstellbar. Die am meisten verbreitete Variante besteht darin, sich mit einer Schadsoftware in den Computer des Bankkunden einzuhacken (trojanisches Pferd). Eine seltene Variante besteht darin, die Internetknotenrechner zu scannen. Zudem ist es auch möglich, dass es sich um eine Innentäterattacke handelt und die Täter den Server der Bank manipuliert haben. In jedem Fall aber haben die Täter Zugriff irgendwo in der Mitte zwischen dem Server der Bank und dem Bankkunden. Auf diese Weise kotrollieren sie den Datenverkehr und man spricht von einem „Man-in-the-Middle-Angriff“; also von dem „dritten Mann“ mitten im Datenverkehr zwischen dem Server der Bank und dem Bankkunden.

Wie sehen die Einzelheiten aus?

Die Täter kundschaften mit Hilfe einer Schadsoftware (trojanisches Pferd) die Zugangsdaten zum Online-Konto aus; d. h. sie lesen das Zugangspasswort mit. Ferner beschaffen sie sich die Mobilnummer des Kunden, die möglicherweise irgendwo im Impressum einer Mail des Kunden zu finden ist und sie lesen ggf. das Zugangskennwort beim Mobilfunkanbieter aus. Wenn die Täter diese Daten beisammen haben, ist es für sie kein Problem mehr, sich mitten in einer regulären Online-Banking-Sitzung in den Datenverkehr zwischen Bank und Bankkunde einzumischen. Der Bankkunde möchte beispielsweise eine autorisierte SEPA Überweisung an A über 50 EUR vornehmen und diese wandeln die Täter nun in eine nichtautorisierte SEPA Überweisung an B über 15.000 EUR um. Nur die nichtautorisierte Überweisung an B über 15.000 EUR kommt dann am Server der Deutschen Postbank AG an. Dann schickt der Server der Bank nach der Überprüfung der Zugangsparameter eine dazu individuell und nur für diese eine Zahlungsanweisung indizierte TAN per SMS auf die hinterlegte Mobilnummer des Bankkunden.

Wie kommen die Straftäter an die SMS?

Dies kann passieren, wenn die Täter mit Hilfe der zuvor abgegriffenen Zugangsdaten beim Mobilfunkanbieter kurzfristig eine Umleitung der SMS auf ein unter falschem Namen laufendes Prepaid-Handy der Täter einrichten konnten. Dann landet die SMS mit der TAN in diesem Augenblick bei den Tätern. Sie geben nun in ihre Schadsoftware die Information der indizierten TAN ein und die Schadsoftware autorisiert innerhalb von Sekunden die nicht nichtautorisierte Zahlungsanweisung an B gegenüber dem Server der Bank. Sodann führt der Server die Zahlungsanweisung aus und das Geld ist vorläufig als Soll in das Konto des Bankkunden gebucht.

Wie handelten die Täter in dem von der Süddeutschen Zeitung geschilderten Fall?

Konkret soll es in dem Fall, von dem die Süddeutsche Zeitung berichtet hat, so zugetragen haben, dass die Straftäter mit den ausgespähten Daten des Bankkunden den nächsten Telekom-Shop aufgesucht hätten, sich dort fälschlich als betroffener Kunde ausgegeben hätten und den angeblichen Verlust der SIM-Karte des betroffen Kunden gemeldet hätten. Auf diese Weise konnten sie offenbar mit Hilfe eines zuvorkommenden Kundenberaters unproblematisch eine Ersatz-Karte aktivieren. Die Folge war, dass alle per SMS übersandten TAN bei den Tätern landeten. Die Telekom Deutschland GmbH soll laut Süddeutscher Zeitung in der Weise reagiert haben, dass sie „Maßnahmen zur Händleridentifikation verschärft“ haben soll.

Ist das mobile TAN-Verfahren jetzt sicher?

Ein absolut sicheres mobile-TAN Verfahren können die Banken auch für die Zukunft nicht mit hundertprozentiger Sicherheit garantieren. Durch die Reaktionen der Banken auf die Straftaten wird zwar das Risiko des Missbrauchs verringert, aber keineswegs restlos ausgeschlossen. Außerdem finden die Täter immer wieder neue Wege, das Online Banking anzugreifen. Der Fall, von dem die Süddeutsche Zeitung berichtet hatte, ist nur eine einzige Variante einer Vielzahl von Möglichkeiten, wie man Angriffe auf das mobile TAN-Verfahren angehen kann. Allerdings ist zugunsten der Bank hinzufügen, dass das mobile TAN-Verfahren oder SMS-TAN-Verfahren ursprünglich, jedenfalls im Zeitpunkt seiner Einführung, noch einen deutlichen Sicherheitsgewinn mit sich gebracht hat. Ursprünglich hat das mobile TAN-Verfahren oder SMS-TAN-Verfahren eine Verbesserung im Vergleich zu dem noch weitaus unsicheren indizierten TAN-Verfahren oder iTAN-Verfahren dargestellt.

Haftet die Bank für die Schäden?

Grundsätzlich haftet die Bank für den Schaden, wenn der Bankkunde die Überweisung nicht autorisiert hat, er die nicht autorisierte Zahlungsanweisung unverzüglich seiner Bank nach der Entdeckung meldet und ihm auch kein sonstiger wenigstens grob fahrlässiger Verstoß gegen die Pflicht zur Geheimhaltung der Bankzugangsdaten anzulasten ist. In der Praxis kommt es dabei aber auf die genauen Einzelheiten des konkreten Falles an.

Hat die höchstrichterliche Rechtsprechung zu dem Thema schon entschieden?

Im Bereich des Abgreifens von Zugangsdaten im Online Banking sind sehr viele Rechtsfragen noch gar nicht zu den höchsten Gerichten gelangt. Und die wenigen Urteile des für das Bankrecht zuständigen 11. Zivilsenat des Bundesgerichtshofes in Karlsruhe betreffen leider nicht die derzeit aktuellen Tatvarianten. Bis ein Fall vor dem Bundesgerichtshof anhängig ist und entschieden wird, vergehen mitunter Jahre. Insofern behandelt der Bundesgerichtshof gegenwärtig nur die Fälle, deren Tathandlungen schon vor vielen Jahren stattfanden und die aufgrund der Schnelllebigkeit bei der Einführung und Außerkraftsetzung neuer Online Banking Verfahren teilweise überholt sind. Auch machen die Berufungsgerichte restriktiv von der Möglichkeit Gebrauch, die Revision vor dem Bundesgerichtshof bei unklarer Rechtslage zuzulassen. Daher wird es nicht mehr lange dauern, bis sich auch der Bundesgerichtshof mit dem Abgreifen von Bankzugangsdaten beim mobile TAN-Verfahren auseinanderzusetzen hat.

Wie sicher sind die anderen Online Banking Verfahren?

Derzeit kann für kein einziges Online-Banking-Verfahren eine hundertprozentige Sicherheit garantiert werden und angesichts der technisch teils sehr ausgereiften Tathandlungen, dürfte es trügerisch sein, dem Kunden eine solche Sicherheit vorzugaukeln. In der Praxis stürzen sich die Täter in der Masse allerdings nur auf die am wenigsten sicheren Online-Banking-Verfahren. Zu den am leichtesten angreifbaren Verfahren gehört aber nicht das mobile TAN-Verfahren, denn hier muss der Täter immerhin die Hürde überwinden, eine SMS umzuleiten. Als Bankkunde fährt man gut damit, sich für ein solches Online-Banking zu entscheiden, welches in der aktuellen und seriösen Testbericht-Erstattung von anerkannten Prüfinstituten gut abschneidet.

Was müssen die Banken beachten?

Die Banken sind und bleiben die Systemanbieter für das Online-Banking und die Verpflichtung der Bank, für ein sicheres Online-Banking zu sorgen, kann nicht auf den Bankkunden abgewälzt werden. Die Banken sollten daher vor allem in die eigene IT-Sicherheit investieren und bereits vorhandene Systeme beständig und kritisch hinterfragen. Die Gefahr bei Nachlässigkeiten in der Sicherheit besteht in der absehbaren Presseberichterstattung. Das kann für die Banken einen hohen Schaden bedeuten, weil die Darstellung in den Medien oft suggeriert, dass die Banken zu wenig für die Sicherheit ihrer Kunden getan haben. Dann können neue Kosten für ein zielführendes Reputationsmanagement entstehen, die im Vorfeld hätten verhindert werden können.

Welche Entwicklung gab es bisher beim Online-Banking?

Die ersten Betrugsfälle betrafen 2007 noch den Bereich von Aktiendepots mittels einer sogenannten Sitzungs-TAN. Hierbei gab man eine nichtindizierte TAN aus seiner Liste als einmaliges Zugangskennwort ein und konnte dann bis zur Ausreizung des Verfügungsrahmens und bis zum Ende der Online-Sitzung alle möglichen Verfügungen quasi ungebremst vornehmen. Für Straftäter stellte dieses System keine große Hürde dar und es konnten nichtautorisierte Zahlungsverfügungen mit dem Resultat eines erheblichen Gesamtschadens durchgeführt werden. Nach einer Verbesserung der Systeme gab es zunächst für jede Transaktion die nichtindizierte PIN/TAN-Lösung. Als die Täter auch diese Hürde scheinbar mühelos überwanden, hatte sich das Landgericht Nürnberg-Fürth im Jahre 2008 mit der Frage auseinandergesetzt, ob Banken im Jahre 2005 nicht bereits verpflichtet gewesen wären, das nichtindizierte PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen Eine Entscheidung traf jedoch erst das Kammergericht in einem von der Kanzlei ilex erwirkten Urteil (Az. 26 U 159/09) am 29.11.2010. Dort wurde klargestellt, dass Banken eine Verpflichtung haben sichere Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren müssen, Bankzugangsdaten abzugreifen. In dem Urteil stand eindeutig drin, dass das ältere PIN/TAN-Verfahren zum damaligen Zeitpunkt überholt war.