# taz.de -- Sicherheit von Smartphones: Phishers Phritze spähen mobil
> Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für
> Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig.
IMG Bild: Unsichere Sache: Überweisungen mit dem Smartphone.
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des
sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs-
und Transaktionsdaten zu gelangen. Nutzer-PCs seien [1][mit Trojanern]
infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten
ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres
Mobiltelefons aufgefordert hätten.
Mittels der dann installierten Software konnten die Diebe daraufhin auch
die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen.
Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über
einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer
persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der
Website seiner Bank ein, will er eine einzelne Aktion wie eine
Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben.
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe
verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte
das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in
dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per
SMS an das Telefon des Bankkunden gesandt.
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind“,
sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim
Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist
eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass
die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt
einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben.
Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte
getrennt voneinander sind.“
## „Sicherheitsupdates“ auf der Bankseite
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer
des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer
eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt
Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer
bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können
Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten.
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden,
spätestens dann werden, wenn ihnen auf ihrer Bankwebsite
„Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das
smsTAN-Verfahren benötigen Kunden weder eine Software noch ein
Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer,
Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu
Installationen dieser Art auffordern.“
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein
grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und
Computer wären heute entweder gleich integriert, wie im Fall von
Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur
teilen wie das heimische WLAN.
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn
Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein,
dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte
setzen können.“ Aber das wäre für mobile Endgeräte ein herber
Komfortverlust.
14 Nov 2012
## LINKS
DIR [1] http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm)
## AUTOREN
DIR Falk Lüke
## TAGS
DIR Android
DIR Smartphone
DIR Trojaner
DIR Trojaner
## ARTIKEL ZUM THEMA
DIR Regierung kauft Spionage-Trojaner: FinSpy schnüffelt für den Bund
Die Bundesregierung hat eine umstrittene Spionage-Software erworben. Der
britische Trojaner wird auch in autoritären Staaten verwendet.
DIR Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab
Der Datenschädling "Zeus" räumte in Europa Millionen von
Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet. Doch
die Abzocke geht weiter - sogar per Handy.