Wer via E-Banking zahlt, braucht ein Login, ein Passwort und eine einmalig einsetzbare Transaktionsnummer (TAN). Weit verbreitet ist das Mobile-TAN-Verfahren: Die Bank sendet dabei den Einmal-Code per SMS aufs Handy. Der Kunde gibt den Code am PC ein und erhält Zugang zum Konto. Zum Teil müssen die Zahlungen mit einem weiteren SMS-Code autorisiert werden. Lange Zeit galt Mobile-TAN als sicher. Anfang Mai aber machte die «Süddeutsche Zeitung» publik, dass es Betrügern gelang, das Verfahren auszutricksen. Bei deutschen E-Banking-Kunden hätten Hacker Geld auf eigene Konten umgeleitet. Zuerst besorgten sie sich via Phishing-Mails die Login-Daten. Über Schwachstellen im Handynetz fingen sie dann den SMS-Code fürs Online-Banking ab.
Gemäss der Schweizer Melde- und Analysestelle Informationssicherung (Melani) ist die Sicherheitslücke im Handynetz schon länger bekannt. Im Januar erfuhr die Bundesstelle erstmals von einem Angriff und informierte die Banken. Gleichzeitig empfahl sie, auf mobile TAN-Verfahren zu verzichten.
Auch in der Schweiz können SMS-Codes abgefangen werden
Dieses E-Banking-Verfahren verwenden Raiffeisen, Credit Suisse, Bank Cler (ehemals Bank Coop), ZKB und weitere Kantonalbanken sowie die Banken der Clientis-Gruppe. Raiffeisen behauptet, Mobile-TAN sei bei Schweizer Banken «in der Regel» besser abgesichert als in Deutschland. Dennoch will Raiffeisen künftig auf das Photo-TAN-Verfahren setzen. Dabei fotografiert der Kunde mit dem Handy ein mosaikartiges Bild mit Farbpunkten auf dem Computerbildschirm. Daraus errechnet eine Handy-App einen Passwortzusatz, der einmalig einsetzbar ist. Die ZKB plant für September die Umstellung auf Photo-TAN. Die CS schätzt das Mobile-TAN als sicher ein, rät Kunden aber zur Verwendung der eigenen Photo-TAN-Variante Secure Sign. Die Clientis-Gruppe bleibt beim Mobile-TAN. Bedrohungslage und alternative Anmeldeverfahren würden laufend beurteilt.
Reto Koenig, Professor für Informatik an der Berner Fachhochschule, findet E-Banking-Lösungen per Handy unsicher: «Jedes Mobiltelefon ist für Dritte offen und deshalb kein sicherer Kanal für die Übertragung von Codes.» Als sicher stuft König einzig Verfahren ein, bei denen ein separates Gerät zum Einsatz kommt, das nur als Legitimationsmittel verwendet wird.
Ein Beispiel dafür ist der gelbe Kartenleser der Postfinance. Schiebt man die Postkarte ins Gerät, erscheint ein einmaliger Code. Auch diese Lösung ist Koenig aber zu wenig sicher: «Der Benutzer identifiziert sich für eine ganze Session. Alle Überweisungen, die innerhalb dieser Session getätigt werden, bleiben unautorisiert.» Der Informatikexperte schlägt vor, dass der TAN-Generator nicht nur für die Anmeldung, sondern auch für jede Zahlung eingesetzt werden muss. Das wäre aber sehr umständlich.
Tipp: Einzahlungen lassen sich auch mit schriftlichen Zahlungsaufträgen erledigen.�
Banken kommen nicht für ganzen Schaden auf
Ein Horror-Szenario: Man loggt sich ins Internetbanking ein und entdeckt, dass Kriminelle das Konto leergeräumt haben.
In Deutschland wirbt die Commerzbank mit einer «Sicherheits-Garantie»: Sie erstattet das fehlende Geld, sofern der Kunde den Schaden nicht vorsätzlich herbeiführte.
Keine Schweizer Bank ist bereit, solche Garantien abzugeben. Das ergab eine saldo-Umfrage bei neun Banken, darunter UBS, Credit Suisse, ZBK und Migros-Bank. Jeder Schadenfall werde einzeln geprüft, sagen die Banken. Falls der Kunde seine Sorgfaltspflicht nicht verletzt habe, zeige man sich kulant.
Kunden können aber nicht davon ausgehen, dass die Bank den ganzen Schaden übernimmt. Das zeigen diverse Beispiele: Mitte Februar verschwanden von den Konten der Berner Belwag AG 1,2 Millionen Franken. Hacker manipulierten die Zahlungssoftware so, dass ihnen die Credit Suisse, UBS und Berner Kantonalbank Geld auf Konten im Ausland überwiesen. Das meiste Geld erhielt die Belwag zurück. Bei 210 000 Franken ist offen, ob das Geld wieder zum Vorschein kommt und wer für den Verlust haftet. Laut der Meldestelle Melani attackierten die Hacker weitere Konten. Details nennt sie nicht.
Informatikprofessor Reto Koenig von der Berner Fachhochschule weiss von drei anderen Fällen. Bei diesen blieben die Kunden auf einem Teil des Schadens sitzen.
Was ihm auffällt, ist das immer gleiche Schema: Zuerst schalten die Banken auf stur. Der Kunde habe seine Sorgfaltspflichten nicht vollumfänglich wahrgenommen. Droht der Geschädigte, an die Öffentlichkeit zu gehen, lenken die Banken ein und übernehmen einen Grossteil des Schadens. Zugleich verpassen sie den Opfern einen Maulkorb.�
