Zum Hauptinhalt springen

Konten mit SMS geplündert

Schweizer Banken haben erst vor Kurzem eine neue Sicherheitsstufe beim E-Banking eingeführt: ein Passwort via SMS. In Südafrika wurde das System nun geknackt.

Es ist ein Rennen gegen die Zeit: Kaum haben die Banken die Sicherheit ihrer E-Banking-Zugänge verbessert, finden Internet-Kriminelle einen Weg, die Hürde zu umgehen. Das Passwort per SMS wurde soeben zum ersten Mal geknackt: in Südafrika.Dort soll ein Verbrechersyndikat so mehrere Millionen Südafrikanische Rand (einige Hunderttausend Franken) erbeutet haben. Im Zentrum der Affäre steht der Mobilfunkkonzern Vodacom. Einem Mitarbeiter des Konzerns ist es gelungen, die SMS-Codes fürs E-Banking abzufangen. Zusammen mit Benutzername und Passwort, welche die Hacker anderweitig erbeuteten, verschafften sie sich so Zugriff auf die Konten. Der beschuldigte Mitarbeiter und ein vermeintlicher Komplize stehen derzeit in Johannesburg vor Gericht.Auch in der Schweiz sind SMS-Codes im Einsatz – etwa bei ZKB und Raiffeisen. Raiffeisen setzt Kurzmitteilungen neben Benutzername und Passwort aus einer Tabelle ein, um bestimmte Überweisungen zusätzlich abzusichern. Bei der ZKB ersetzt das SMS-Passwort die früheren Streichlisten-Codes. Hinter beiden Varianten steckt die Idee, dass es sicherer ist, die Kommunikation auf zwei Kanäle aufzuteilen, falls der Computer virenverseucht ist.Ein Betrugsfall wie in Südafrika wäre theoretisch auch in der Schweiz möglich. Allerdings können SMS nicht aus der Distanz oder in der Luft abgefangen werden. Im Unterschied zu den meisten E-Banking-Betrugsfällen in der Schweiz, die aus dem Ausland gesteuert werden, müssten die Kriminellen also mindestens einen Mann vor Ort haben und zwar bei einem Mobilfunkanbieter. Dieser müsste die SIM-Karte des entsprechenden Kunden kopieren.«Einiges an krimineller Energie»Laut Swisscom-Sprecher Carsten Roetz ist es kein Problem, eine SIM-Karte zu kopieren. Vor allem Geschäftskunden, welche privat und geschäftlich unterschiedliche Handys, aber dieselbe Nummer verwenden, machen von solchen Zweitkarten Gebrauch. «Bei uns funktionieren die beiden SIM-Karten nicht gleichzeitig», sagt Roetz.Konkret: Sobald der Betrüger das Handy mit der kopierten SIM-Karte einschaltet, um das SMS-Passwort zu empfangen, verliert das Handy des Betrogenen die Verbindung. Erst nach einem Neustart ist es wieder am Netz. Eine kopierte SIM-Karte würde aber auf alle Fälle Spuren hinterlassen. Der Mobilfunkangestellte müsste «einiges an krimineller Energie» aufweisen, so der Swisscom-Sprecher, um die Sicherheitsbestimmungen zu umgehen. «Einen solchen Angriff durchzuführen, ist schwierig», sagt ZKB-Sprecher Diego Wider. «Unabhängig davon sind solche Angriffe aber kaum flächendeckend möglich und vor allem nicht über längere Zeit», argumentiert Wider. Auf ihrer Webseite schreibt die Bank denn auch, die neue Lösung setze «neue Massstäbe punkto Sicherheit». Bei Raiffeisen heisst es: «Trotz dem Zwischenfall in Südafrika gehen wir davon aus, dass unsere Sicherheitsmassnahmen gut genug sind.»>

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch