Immer mehr Anbieter binden für Ihre Dienste das Handy des Kunden als Sicherheitsfeature ein. Doch ist ein Handy dafür wirklich geeignet? Die Minicomputer im Hosentaschenformat sollen beispielsweise beim Onlinebanking und bei der Paketstation Schutz bieten, sind selbst jedoch teilweise löchrig wie ein Schweizer Käse. Ist ein ausreichender Schutz dennoch gewährleistet oder steht das Konto offen wie ein Scheunentor?
Der Inhalt im Überblick
Willkommen im Club: Die DHL-Paketstation
Seit gestern kann man den Paketstationsdienst von DHL nur noch mit einer sogenannten mTan nutzen, das Kürzel steht dabei für „Mobile Transaktionsnummer“.
Das Verfahren an der Paketstation ist simpel. DHL verschickt zusammen mit der Benachrichtigung über den Paketeingang eine individuelle und nur begrenzt gültige Ziffernfolge auf das Handy des Nutzers. Diese Ziffernfolge muss man dann bei der Abholung an der Paketstation eingeben. Diese mTan ersetzt die bisher genutzte PIN, die für alle Sendungen gleich war.
Als zusätzliche Sicherheitsmaßnahme wird bei der Abholung die sogenannte „Goldcard“ benötigt, die man bei der Erstanmeldung für den Dienst ausgehändigt bekommt. Durch die Kombination dieser beiden Sicherheitsmerkmale entsteht im Ergebnis eine sehr hohe Sicherheit.
Zusätzlicher Schutz durch die mTan?
DHL hat im Laufe der Zeit auf die immer größer werdenden Sicherheitsrisiken reagiert und das System laufend verbessert. Über Phishing-Mails wurden die Kunden früher aufgefordert, ihre Daten (inkl. Pin) auf einer präparierten Webseite einzugeben, danach wurden die Daten in der Regel für Betrügereien mit Online-Shops verwendet. Diese Schwachstelle wurde bereits mit der verpflichtenden Eingabe der Goldcard behoben.
Entgegen der vorherigen PIN stellt die mTan jetzt nochmal eine Verbesserung des Schutzniveaus dar. Geht die Goldkarte verloren, muss man als Betrüger viel Aufwand betreiben, um an die weiteren Daten zu gelangen.
Aber ist eine mobile TAN so fortschrittlich und sicher, wie das Marketing uns weiß machen will?
Risiken der mTan
Eine mTan alleine stellt heute eigentlich keinen wirklich sicheren Schutz dar. Bereits die Handys der Vergangenheit waren anfällig für Angriffe, die Entwicklung der Smartphones hat das Risiko noch einmal vervielfacht. Der Knackpunkt ist dabei der Empfang der Informationen per SMS. Es gibt eine Reihe von Schadsoftwareprodukten, die jede SMS unbemerkt vom Nutzer an eine beliebige andere Nummer weiterleiten können. Diese befindet sich in der Regel im Ausland, da in Deutschland die anonyme Registrierung von Telekommunikationsmitteln nicht möglich ist (Ein Umstand, der durchaus einen eigenen Blog-Beitrag verdient!)
Der bekannteste Vertreter dieser schädlichen Zunft ist sicherlich der Trojaner „Zeus“, der unter gütlicher Mithilfe des Nutzers auf das mobile Gerät gelangt. Auf einem infizierten PC erscheint eine Meldung, dass beim Online-Banking zum Empfang der mTan zunächst ein neues Sicherheitszertifikat auf dem Handy installiert werden muss. Auf diesem Weg gelangt der Trojaner dann auf das Smartphone, ein typischer Layer-8-Fehler also. Wenn auf dem infizierten PC jetzt noch eine geschickte Phishing-Seite die richtigen Daten generiert, steht der Selbstbedienung durch den Gauner nichts mehr im Wege.
Das Smartphone als (Un-)Sicherheitsfaktor
Neben der gezielten Installation eines Trojaners stellen auch die bereits vorhandenen, vielfältigen Apps auf einem durchschnittlichen Smartphone ein beträchtliches Risiko dar. Kürzlich wurde bekannt, dass der vermeintlich sichere Datenaustausch vieler Apps eben leider nicht sicher ist. Bei mehr als 1000 der 13.000 untersuchten Apps war es möglich, die SSL-Verschlüsselung auszuhebeln und Anmeldedaten für Facebook, Twitter, Google, Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und Kontodaten abzufangen. Durchaus schockierend, wie schlampig und sorglos hier ganz offensichtlich die Anwendungen programmiert werden.
Mögliche Schutzmaßnahmen
Wie bei allen Maßnahmen zum Schutz der IT-Infrastruktur ist auch hier der Mensch die Schwachstelle. Wer jede kostenlose App installiert und sich nicht wundert, womit die Entwickler wohl ihr Geld verdienen, öffnet dem Datendieb bereitwillig selbst die Tür.
Und selbst der informierte User, der auf dem Smartphone einen Virenscanner einsetzt, ist nicht sicher. Über die Schwachstellen in der SSL-Implementation können etliche Virenscanner umprogrammiert oder sogar ganz ausgeschaltet werden.
Es bleibt also nur der Rat, aufmerksam zu sein und seine Anwendungen mit Bedacht auszuwählen.
Gleiches gilt selbstverständlich auch für die Nutzung des PCs. Die heutigen Phishingseiten sind leider so gut gemacht, dass man durchaus leicht darauf herein fallen kann. Die in der Vergangenheit immer wieder anzutreffenden Rechtschreibfehler und die schlechten Übersetzungen sind größtenteils Geschichte. Bei Heise findet man ein schönes Beispiel einer Paketstationsseite, die man kaum noch von der offiziellen Seite unterscheiden kann.
Weiterführende Infos
Wer mit eigenen Augen sehen möchte, was heute alles auf dem Feld der IT-Angriffe möglich ist, sieht sich am Besten dieses Video an. Es bietet eine gute Stunde kurzweilige Unterhaltung und ein lehrreiches Beispiel für die Risiken der aktuellen Technologien.
Guten Tag,
zur „Sicherheit“ der „Goldcard“ zitiere ich aus einem Forenbeitrag bei Heise:
http://www.heise.de/security/news/foren/S-Re-Ohne-Karte-kann-man-nichts-abholen/forum-241299/msg-22646228/read/
„3 Tracks:
Name
Postnummer
005900000000000000000000
Nur die Postnummer (und PIN) werden überprüft, was in den anderen beiden Tracks steht ist völlig egal.
Ja, Plaintext: https://entropia.de/GPN11:Hackstation “
Gruß
Ein Packstationkunde
Was ist eigentlich davon zu halten das mySMS alle sms zum Server überträgt, inklusive die mTan(s)?