Dienstag, 15. September 2009

SMS Online-Banking geknackt

Online-Banking ist praktisch, kann aber auch gefährlich sein. Insbesondere wenn der Kunde nicht aufpasst und ausgetrickst wird, so dass Gauner die Zugangsdaten für das Online-Banking erhalten und damit Geld auf andere Konten überweisen können. Einige Schweizer Banken haben deshalb eine zusätzliche Sicherheitsstufe eingeführt und die Kunden erhalten ein Passwort via SMS oder erhalten die Zahlungsdaten per SMS, die sie bestätigen müssen. Der Tages-Anzeiger berichtete nun vor einigen Tagen, dass in Südafrika nun dieses zusätzliche Sicherheitssystem erstmals geknackt worden ist (Artikel ist online verfügbar).

Das Überwinden des Sicherheitssystem in Südafrika war nur möglich, weil ein Mitarbeiter des Mobilfunk-Anbieters Vodacom die SMS-Codes fürs E-Bankung abgefangen hat. Die Hacker erbeuteten Benutzernamen und Passwort anderweitig und konnten sich so auf Bankkonten zugreifen. Soweit die Information des Tages-Anzeigers.

Grundsätzlich ist es mit genügend Aufwand immer möglich, jedes System auszutricksen. Wenn eine Bank Zugangsdaten (z.B. die altmodische Streichlisten-Codes, die es nun auch per SMS gibt) per SMS schickt, so werden die Zugangsdaten auf einem System der Bank gespeichert, an ein SMS-Gateway übergeben (dort wieder gespeichert), von dort weiter ins Mobilfunk-Netz übergeben (und wieder gespeichert). Das Mobilfunk-Netz liefert das SMS dann an den entsprechenden Kunden aus. Rein theoretisch - und mit entsprechenden Aufwand - wäre es möglich, die SMS mitzulesen. Das Ganze dürfte jedoch nicht einfach werden, weil nur wenige Mitarbeiter überhaupt Zugriff auf so sensible Systeme haben dürften. Ich halte das Abfangen von SMS-Nachrichten jedoch für äusserst unwahrscheinlich, doch ein kleines Restrisiko bleibt. Der Tages-Anzeiger schreibt in seinem Artikel zwar, dass die SIM-Karten kopiert werden müsste, doch ich glaube nicht, dass dies notwendig ist, um SMS lesen zu können.

Ich gehe davon aus, dass die Kombination zwischen Internet und Mobilfunk sicher ist. Eine Schwachstelle ist, dass das SMS unverschlüsselt übertragen wird und damit - rein theoretisch - von Drittpersonen gelesen werden kann. Doch diese müssten zusätzlich auch noch an die anderen Zugangsdaten kommen.


Liebe Grüsse



Ralf Beyeler
Telekom-Experte von comparis.ch

Keine Kommentare: