Veröffentlicht von:
Schaden im Online-Banking im Zusammenhang mit SMS-Codes
- 2 Minuten Lesezeit
Ist die SMS-Authentifizierung im Rahmen des Online-Bankings noch zulässig, zeitgemäß oder sicher?
Für eilige Leser: Ja/Nein/Nein
Die beim Online-Banking vorgeschriebene Zwei-Faktor-Authentifizierung (2FA) verbesserte ohne Zweifel die Sicherheit von Online-Konten.
Nach Verwendung des sogenannten Wissenselements (der Bankkunde muss ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage eintragen, um den Login-Prozess zu starten) muss in einem zweiten Schritt einen Gegenstand verwenden, den er besitzt. Zum Beispiel ein Smartphone, das per App oder SMS einen Zahlencode empfängt. Der Empfang per SMS ist jedoch extrem unsicher. SMS sind generell unverschlüsselt.
SMS-Nachrichten werden als Klartext gesendet und auf dem Bildschirm des Benutzers angezeigt. Sie sind sogar meist auf dem Vorschaubildschirm eines Telefons sichtbar, wenn dieses gesperrt ist.
Beim sogenannten SIM-Swap wird der Mobilfunkanbieter in betrügerischer Absicht dazu veranlasst, eine Telefonnummer einer neuen SIM-Karte zuzuweisen. SIM-Karten können zudem geklont und in mehreren Telefonen verwendet werden.
Am offensichtlichsten ist die technische Schwachstelle. Bei einem Angriff des Typs „Signaling System 7“ (SS7) können Textnachrichten mitgelesen werden. Diese Schwachstelle ist seit mindestens 2017 auch für das Online-Banking von Kreditinstituten bekannt.
Auch sog. Man-in-the-Middle-Angriffe können eingehende SMS-Codes abfangen.
Dies alles ist bekannt. Einige Banken haben daher die SMS-Authentifizierung wieder abgeschafft und nehmen sogar Systembrüche in Kauf. D.h. ein Bankkunde, der eine Banking-App auf einem neuen Smartphone installieren möchte, wird darauf verwiesen auf einen guten alten Brief mit einem „Aufrubbel“-Code zuwarten, bevor er seinen Prozess beenden kann. Kunden, die sich hierüber ärgern, sollten sich fragen, warum eine rein digitale Bank einen solchen Systembruch implementiert, nachdem sie zuvor jahrelang die bequemen SMS-Code quasi „togo“ verschickte. SMS-Codes sind unsicher, sagt der Frankfurter Fachanwalt für bank- und Kapitalmarktrecht. Er stütz sich dabei nicht auf besondere IT-Kenntnisse, sondern verlässt sich auf seine jahrzehntelange Praxiserfahrung und die Marktbeobachtung. Der Nachrichtendienst X brandmarkte die eigene jahrelange Verwendung der SMS-Codes als Scheinsicherheit und schaffte sie radikal ab. Deutsche Banken und Sparkassen verteidigen das Verschicken von SMS als sicher.
Kunden deren Banken dieses System beibehalten rät Schröder zum Abschluss von Rechtsschutzversicherungen oder zum Wechsel der Bank. Einen Prozess kann der Geschädigte beim SMS-Verfahren eigentlich nur gewinnen. Es erfordert aber den Einsatz von Geldmitteln und ein wenig Mut.
Artikel teilen: