Datenschutz beim Online-Banking vielfach unzureichend

Viel zu häufig gelingt es Betrügern sich Kundendaten für das Online-Banking zu beschaffen. Die Klagen kommen diesmal vom Produkt- und Strategieberater Bankenversicherung bei der R+V Allgemeine Versicherungs AG in Wiesbaden. In einer Pressemitteilung teilte er mit, dass betrügerische Überweisungen im Online-Banking im Vergleich zu den ersten Monaten der Vorjahre rasant zugenommen haben, und warnte, Betrügern gelingt es derzeit verstärkt, unter Missbrauch des Mobile TAN-Verfahrens, an Zugangsdaten zum Online-Banking zu kommen - trotz gezielter Warnhinweise der Banken.

Datenschutz: Betrugswelle sucht Deutschland heim
Allein bei der Bankenversicherung der R+V wurden seit Anfang des Jahres nahezu 300 Fälle gemeldet. Dabei ist ein Schaden von etwa fünf Millionen Euro entstanden, was fünfmal so viel ist wie im Vergleichszeitraum des Vorjahres 2018. Vor allem komme es dabei zu betrügerischen Überweisungen auf Direktbanken. Dieser Vorwurf hat insofern ein “Geschmäckle”, dass sich die klassischen Banken vom Geschäftsmodell der smartphone-basierten Kontoverwaltung zunehmend bedrängt fühlen, während die Kritik gerade am Mobile-TAN-Verfahren schon sehr viel älter ist, als die meisten Direktbanken.

Datenschutz: Online-Banking
Das Abwickeln von Bankgeschäften mit Hilfe elektronischer Endgeräte nennt man Online-Banking, wenn dabei ein direkter Zugriff auf den Rechner der Bank erfolgt. Das am meisten verbreitete Verfahren ist dabei das browserbasierte Internet-Banking. Für die Auslösung der Aufträge wird eine elektronische Unterschrift des Kunden verlangt, die häufig mit einem sogenannten PIN/TAN-Verfahren geleistet werden kann. Dazu muss zuerst eine eine dem Kundenkonto zugeordnete Persönliche Identifikationsnummer (PIN) eingegeben werden, um sich zu authentifizieren, und danach zur Bestätigung der Zugriffsberechtigung eine Transaktionsnummer (TAN), die nur einmal genutzt werden kann.

Datenschutz: Funktionsprinzip der Mobile TAN
Mobile TAN ist auch als mTAN, SMS-TAN oder smsTAN bekannt. Dabei wird eine SMS als Übertragungskanal genutzt. Der Kunde erhält nach dem Ausfüllen der Überweisungsträger eine sechsstellige Nummer auf sein Festnetz- oder Mobiltelefon, mit der er dann, innerhalb einer Frist von wenigen Minuten, den Auftrag abschließen kann. Auf die Mobile TAN sind jedoch eine Vielzahl von Angriffen möglich. Vor einem Angriff auf die TAN muss mittels Trojaner oder Phishing die PIN ausgespäht werden. Mit dieser erhält der Angreifer Zugriff auf alle möglichen Daten, weil er sich ins Online-Banking des Opfers einloggen kann.

Datenschutz: Angriffsmöglichkeiten auf Mobile TAN
Beim nächsten Schritt geht es darum an eine Mobile TAN zu gelangen. So kann er probieren sich mit einer eigenen Telefonnummer für das Mobile-TAN-Verfahren registrieren zu lassen, oder das elektronische Endgerät des Opfers mit Hilfe von Spyware zu kompromittieren. Ebenso könnter der Angreifer versuchen das Mobilfunknetz zu kompromittieren, indem er mit einem IMSI-Catcher eine Funkzelle errichte, die ein Mobilfunknetzwerk vortäuscht, oder er nutzt eine ihm bekannte Sicherheitslücke im Signalisierungssystem des Netzwerks. Weitere Möglichkeiten bieten über die Beschaffung einer zweiten (Multi-)SIM-Card, oder die Portierung der Rufnummer an. Menschliche Schwächen macht sich das sogenannte Social Engineering zu Nutze, in dem es die Benutzer dazu bringt, von sich aus Geld zu überweisen, indem zum Beispiel bekannte Verhaltensweisen, wie Autoritätshörigkeit, ausgenutzt werden.

Datenschutz: Welche Schlussfolgerungen sind zu ziehen?
Kontaktversuchen von anonymen Quellen grundsätzlich misstrauisch begegnen. Unbekannten keinerlei persönliche Daten, auch wenn diese unwichtig erscheinen, weitergeben. Keine persönlichen, oder finanziellen Daten preisgeben. Keine Links aus elektronischen Nachrichten verwenden, die die Eingabe persönlicher Daten verlangen. Bei Unklarheite über den Absender einer elektronischen Nachricht, diesen telefonisch kontaktieren, um die Authentizität der Nachricht zu überprüfen. Besondere Vorsicht ist bei der Teilnahme in sozialen Netzwerken erforderlich, denn auch da kann ein Angriff vorbereitet werden.

Resch Datenschutz – Experten für Datenschutz
Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 8859770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.