Hackerangriffe auf Bankkonten (Phishing), die das Spush-TAN-Verfahren der Sparkassen nutzen

Die Fälle des Leeräumens von Bankkonten durch unbekannte Straftäter (Phishing) nehmen nach der Einführung der sogenannten Zwei-Faktor-Authentisierung schon seit 2021 massiv zu und die Fallzahlen sind auch 2024 hoch. Von Hackerangriffen, bei denen teilweise am gleichen Tag Konten von mehreren Bankkunden in ganz Deutschland leergeräumt worden sind, ist derzeit das sogenannte pushTAN-Verfahren betroffen. Allein in der Stadt Stuttgart wurden Konten von fünf Bankkunden mit Schadensbeträgen im fünfstelligen Bereich leergeräumt (vgl. Wolf-Dieter Obst, „So schnell verlor eine Bankkundin 50.000 EUR“, in: Stuttgarter Nachrichten vom 05.03.2021). Demzufolge wurde u. a. ein Bankkonto bei der Baden-Württemberg Bank (BW-Bank) in einer Größenordnung von rund 50.000 EUR leergeräumt. In Sindelfingen sollen es bei einer weiteren Kundin rund 40.000 EUR gewesen sein und bei einer 95-jährigen zuvor 20.000 EUR. Betroffen sind aber auch Sparkassen in ganz Deutschland bis hin zur Deutschen Kreditbank AG in Berlin und selbst eine Genossenschaftsbank. Verschiedene Indikatoren und ähnlich gelagerte Tatabläufe sowie der enge zeitliche Zusammenhang der Taten, deuten nach Ansicht von ilex Rechtsanwälte sogar auf die gleichen Täter hin.

Welche Banken sind betroffen?

Von den aktuellen Hackerangriffen, bei denen innerhalb eines kurzen Zeitraumes, teilweise sogar am gleichen Tag, Konten in ganz Deutschland leergeräumt worden sind, ist das sogenannte pushTAN-Verfahren betroffen. Dieses wird insbesondere im Sparkassenbereich bundesweit eingesetzt. Neben diversen Sparkassen und Kreissparkassen existieren aber auch Schadensfälle bei der Deutschen Kreditbank AG (DKB) in Berlin und bei der Baden-Württembergischen Bank (BW-Bank) oder der Landenbank Baden-Württemberg (LBBW) in Stuttgart.

Wie läuft die Phishing-Tathandlung ab?

Erst bei einer gemeinsamen Betrachtung der derzeit aufgelaufenen Fälle, wird trotz einer Ortsverschiedenheit der beteiligten Banken, als auch der geschädigten Bankkunden, ein einheitliches Tatmuster der Betrugstaten erkennbar. In dem Bericht in den Stuttgarter Nachrichten vom 05.03.2021 wurde der Fall geschildert, bei der ein Bankkonto bei der Baden-Württemberg Bank (BW-Bank) in einer Größenordnung von rund 50.000 EUR leergeräumt wurde. Nachdem die Bankkundin nur schnell ihr Bankkonto checken wollte und sich hierzu die reguläre Webseite ihrer Bank über google.de gesucht hatte, tippte sie dann auf den ersten Ergebnistreffer der Suchmaschine Google, der regulär die Online-Banking-Seite ihrer Bank auswies. Sie gab dann regulär ihre Zugangsdaten zu ihrem Online Banking auf der vermeintlich gesicherten Website ihrer eigenen Bank ein und landete letztlich auf einer gefälschten Webseite. Dort gaukelte man ihr dann auf einer täuschend echt nachgeahmten Webseite vor, es müsse zunächst ein neues Registrierungsverfahren durchlaufen werden. Dass sich die Bankkundin gar nicht auf der Online Banking Internetseite der eigenen Bank befand, war, selbst für einen kritischen Verbraucher, nicht zu erkennen, da der gesamte Seitenaufbau, inklusive Logo und Inhalt, eins zu eins der vertrauten Umgebung der eigenen Bank entsprach.

Social Engineering in perfektionierter Form

Diese Vorgehensweise der Täter entspricht weiteren Fällen, die derzeit von ilex Rechtsanwälte auf Seiten der Bankkunden bearbeitet werden. Eine nahezu tatgleiche Handlung fand am gleichen Tag nur wenige Minuten früher in einer anderen Stadt statt. Auch dort gaukelten Täter – nach dem Login des Bankkunden auf einer nahezu täuschend echten Online Banking Webseite – vor, der Kunde habe ein neues Registrierungsverfahren zu durchlaufen und werde dazu in Kürze von einem Bankmitarbeiter angerufen. Damit alles seine gute Ordnung habe, werde sich dieser Bankmitarbeiter mit einem Registrierungscode gegenüber dem Kunden authentifizieren, den man dem Bankkunden zuvor auf der gefälschten Webseite im Online Banking mitgeteilt hatte und den er sich aufschreiben sollte. Im guten Glauben, dass sich der Bankkunde auf der gesicherten Webseite seiner eigenen Bank befindet, tat auch dieser Kunde, wie ihm geheißen.

Warum wird der Bankkunde vermeintlich von seiner Bank angerufen?

Kurz darauf bekam der Kontoinhaber tatsächlich einen Anruf vermeintlich von seiner Bank, der als Anrufer-Rufnummer die echte Rufnummer seiner Bank auswies und deshalb vom Smartphone als vermeintlicher Anruf der eigenen Bank erkannt wurde, aber in Wirklichkeit von den Tätern stammt. Im Rahmen des nun folgenden „Registrierungsverfahrens“, welches auch gerne als notwendiges Sicherheitsupdate angepriesen wird, welches in Wirklichkeit weder das eine, noch das andere ist, gleichen die Täter dann oftmals eine TAN ab, deren Versendung die Hacker zuvor auf die pushTAN-App des Bankkunden selbst ausgelöst haben, um eine externe Überweisung auf ein fremdes Bankkonto zu ermöglichen und die nun auf der sogenannten PushTAN-App (auch S-pushTAN-App) auf dem Smartphone oder dem mobilen Endgerät des Bankkunden erscheint. Der völlig ahnungslose Bankkunde glaubt nun, dieser Abgleich mit seiner eigenen Bank sei nötig, um ein neues Update oder ein neues Registrierungsverfahren abzuschließen.

Besonders perfide erscheint es, wenn die auf diese Weise anrufenden Täter zuvor sogar mit Insiderwissen glänzen können und beispielsweise einen herzlichen Gruß von dem Bankmitarbeiter ausrichten, der das Bankkonto dieses Kunden tatsächlich betreut und den die Täter auch namentlich benennen können. Die exakten Abläufe der Tathandlungen zeigen insofern, dass die Straftäter häufig eine sehr geschickte Vorfeldrecherche über den Bankkunden oder durch Anrufe bei der Bank tätigen und erst nach einer intensiven Auswertung der sozialen Medien und des Umfeldes des Bankkunden mit erheblichem Insiderwissen die Tat begehen.

Eine Kombination aus social engineering und Ausnutzen von Sicherheitslücken

Die aktuellen Fälle des Abgreifens von Bankzugangsdaten im online-Banking (Phishing) zeigen auf, dass es sich nicht bloß um Angriffe nach dem Schema des sogenannten social engineering handelt (soziale Manipulation), sondern diese zugleich davon geprägt sind, die Sicherheitslücken eines ganz bestimmten Online Banking Verfahrens auszuhebeln (hier des S-pushTAN-App Verfahrens). Zwar zählt es zur Tathandlung, dass der Bankkunde zu einer Handlung bewegt wird. Im Unterschied zu früheren Fällen, machen sich die Täter aber gleichzeitig erhebliche technische Sicherheitslücken in dem konkreten Online Banking zunutze (hier in dem S-pushTAN-App Verfahren). So ist es kein Zufall, dass bei allen aktuellen Tathandlungen in 2022 stets das gleiche pushTAN-Verfahren, mit den derzeit denkbar größten Sicherheitslücken, angegriffen wurde: Dieses pushTAN-Verfahren steht seit Jahren in der Kritik von Informatikern, die schon vor Jahren auf denkbare Sicherheitslücken hingewiesen haben.

Seit wann sind Angriffe konkret auf das pushTAN-Verfahren bekannt?

Erfolgreiche Angriffe auf das pushTAN-Verfahren der Sparkassen sind schon seit 2018 hinreichend bekannt und damit auch die Sicherheitslücken. Bereits aus dem „Cybercrime Bundeslagebild 2008“ des Bundeskriminalamtes lässt sich auf der Seite 18 entnehmen, dass Angriffe auf die sogenannte Push-TAN-Methode, welches im Sparkassenbereich verwendet wird, bekannt sind. Dort heißt es: „Ein ähnliches Vorgehen erfolgt beim Missbrauch der sogenannten „Push-TAN-Methode“, welches unter anderem bei dem mobilen Online Banking der Sparkassen Anwendung findet. Hierbei späht der Täter die persönlichen Daten der Geschädigten aus und kontaktiert das Service-Center der Sparkasse. Er lässt, unter Angabe der Daten des jeweiligen Geschädigten, die Rufnummer für das TAN-Verfahren ändern, sodass der Täter die Push-TAN über die Sparkassen-App auf seinem Smartphone mit der neuen Zielrufnummer erhält. Über diese lassen sich ohne weitere zusätzliche Geräte oder Kontakte Überweisungen ausführen.“

Welche Kritik haben Informatiker vor Jahren am pushTAN-Verfahren geäußert?

Bereits vor vielen Jahren formulierten die beiden Informatiker Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität Erlangen-Nürnberg ihre Kritik am pushTAN-Verfahren in dem Aufsatz: „(Un) Sicherheit von App-basierten TAN-Verfahren im online-Banking“. Ihre Kritik gipfelt damals in der Erkenntnis, dass „der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und –Bestätigung“ das pushTAN-Verfahren „für Schadsoftware zu einer leichten Beute“ macht. Schon damals hatten die beiden Informatiker zur Demonstration dieser Schwächen einen Angriff entwickelt, der vom Nutzer Transaktionen abfängt, die man vor ihrer Bestätigung nach Belieben manipulieren konnte. Insofern besteht die konzeptionelle Schwäche des pushTAN-Verfahrens eben darin, dass ein App-basiertes TAN-Verfahren in der Regel kein 2-Wege-TAN-Verfahren darstellt, sondern von vielen Bankkunden wird sowohl die Push-TAN-App, als auch die Transaktionsauslösung im Online Banking auf dem exakt gleichen mobilen Endgerät betrieben. Besser wäre es jedoch, wenn man hierfür getrennte Geräte verwendet.

Was leistet die ilex Arbeitsgruppe Prävention Cybercrime?

ilex Rechtsanwälte vertritt bereits seit 17 Jahren Bankkunden und hat, um die technischen Lücken im Online Banking weiter aufzuklären, die Arbeitsgruppe „Prävention Cybercrime“ gegründet. Ziel ist es, wiederkehrende Tatmuster aus einer Vielzahl von Fällen zu benennen, die man erst entdeckt, wenn man mehrere Fälle bearbeitet. Erst durch die Zusammenführung der Erkenntnisse aus mehreren Fällen erscheint es möglich, mit dem gleichen Wissensstand der Bank gegenüberzutreten. Dies dient der zielführenden Vertretung der Geschädigten und der Klärung der sich stellenden Haftungsfragen, leistet aber auch einen präventiven Beitrag mit Vorschlägen zur Verbesserung des Online Bankings.

Welche Schwächen weist das Push-TAN-Verfahren heute auf?

Anhand der derzeit aktuellen Fälle konnte aufgeklärt werden, dass es verschiedene Sicherheitslücken in den konkreten Angriffen auf das pushTAN-Verfahren in den Jahren 2021-2024 gab. Auffällig sind bei diesen Hackerangriffen die sehr hohen Schadenssummen, die ein übliches Tageslimit überschreiten. Um derart hohe Schadensummen zu verhindern, verwenden nahezu alle Banken das sogenannte Tageslimit im Online Banking. Üblicherweise ist ein solches Tageslimit im Privatkundenbereich voreingestellt. Möchte ein Bankkunde höhere Beträge transferieren, kann er dieses Tageslimit natürlich individuell anpassen. Was der Bankkunde kann, kann aber grundsätzlich auch der Hacker, wenn er sich erst mal in das Online Banking eingehackt hat. Um letzteres zu verhindern, sollte auch die Veränderung des Tageslimits ebenfalls nach dem gleichen Schema autorisiert und authentifiziert werden, wie jede Zahlungsanweisung auch. Ein Grundfehler in dem hier relevanten pushTAN-Verfahren bestand darin, dass die Anpassung des Tageslimits offenbar ungewöhnlich leicht durch die Täter nach oben gesetzt werden konnte. Andere Online Banking Systeme setzten hier deutlich höhere Hürden. Beispielsweise verlangen andere Banken für die Anpassung des Tageslimits nach oben ebenfalls die aufwendige zwei-Faktor-Authentisierung ab.

Warum sich die Tageslimit-Änderung erst am nächsten Tag auswirken sollte?

Außerdem implementieren viele Banken eine weitere technische Hürde, wonach sich die Erhöhung des Tageslimits selbst nach der Zwei-Faktor-Authentisierung beispielweise frühestens am nächsten Bankarbeitstag auswirkt. Diese Zeit bis zum nächsten Bankarbeitstag ist für Betrüger häufig viel zu lange, da gerade beim Überweisungsbetrug aus Tätersicht die Geschwindigkeit besonders wichtig ist. Nicht ganz umsonst besteht ein von der ilex Arbeitsgruppe Prävention Cybercrime erkanntes häufiges Tatmuster darin, dass der vermeintliche Bankmitarbeiter bei vielen Kunden ausgerechnet am frühen Freitagabend anrief, als die Bank bereits geschlossen hatte und die Täter sehr genau wussten, dass dem Bankkunden eine Klärung mit der eigenen Bank frühestens am kommenden Montag möglich sein würde. Die nicht autorisierten Verfügungen wurden dann auch vorzugswürdig an einem Freitagabend ausgelöst. Die Zeit bis zum nächsten Bankarbeitstag reichte den Tätern dann aus, um jedes nachträgliche Stornieren einer solchen nicht autorisierten Zahlungsanweisung zu verhindern.

Was könnte der Systemanbieter des pushTAN-Verfahrens sonst noch leisten?

Auch stellt sich die Frage, ob Banken wirklich im Online Banking den Verfügungsrahmen und den Überziehungskredit (Dispo oder Dispositionskredit) zwingend offenbaren müssen, nur, um es damit eben auch den eingehackten Tätern zu ermöglichen, fast auf den EUR genau den Verfügungsrahmen inkl. des Überziehungskredites auszuschöpfen?