Trends & News | News

Kunde haftet bei Online-Banking-Betrug mit Smart-TAN Plus

Bislang urteilten Gerichte in Fällen von Online-Banking-Betrügereien häufig zugunsten des Opfers und sahen die Verantwortung primär bei den Banken. Jetzt hat das Landgericht Darmstadt allerdings entschieden, dass Banken nicht haften, wenn das Opfer einen Online-Banking-Betrug hätte erkennen und verhindern können. Es weist damit die Klage eines Betrugsopfers ab, dem offenbar durch einen Trojaner 18 500 Euro gestohlen wurden. Die Klägerin hatte auf Erstattung des Schadens durch die Bank geklagt.

Bei den fraglichen Transaktionen kam das sogenannte Smart-TAN-Plus-Verfahren zum Einsatz. Hier zeigt ein TAN-Generator den Betrag und das Ziel der Überweisung an. Erst wenn der Anwender es bestätigt, wird die TAN erzeugt. Diese muss der Anwender dann in das Online-Banking am PC übertragen. Mit diesem Vorgang sieht die Bank eine dem Anwender zuzurechnende Autorisierung der Überweisung als gegeben an.

Dem Urteil lässt sich entnehmen, dass das Opfer wohl zunächst im Online-Banking auf dem PC Überweisungen an Geschäftspartner angestoßen hatte. Allerdings scheint ein Trojaner oder ein Man-in-the-Middle diese Daten manipuliert zu haben – der Überweisungsvorgang wurde mit einem anderen Zielkonto und einem anderen Betrag versehen. Laut der beklagten Bank müssen diese manipulierten Daten danach auf dem Display des TAN-Generators angezeigt und somit von Anwender bestätigt worden sein. Das Gericht folgte dieser Argumentation offenbar. Nach aktuellem Stand der Technik ist auch kein realistisches Angriffsszenario denkbar, bei dem der TAN-Generator nicht die Daten der von der Bank tatsächlich durchgeführten Überweisung anzeigt. Die wahrscheinlichste Erklärung ist somit, dass das Opfer diesen Informationen nicht genug Beachtung schenkte. (ju)

iCloud soll sicherer werden

Mehrere weibliche US-Stars sind Opfer eines Hackerangriffs geworden, der seinen Ursprung in Angriffen auf Cloud-Speicherdienste, vor allem Apples iCloud, haben soll. Unbekannte stellten Dutzende Nacktfotos ins Netz, von denen viele mit iPhones aufgenommen worden zu sein scheinen. Die Bilder tauchten zuerst auf dem Imageboard 4chan auf und wurden dann sehr schnell unter dem Überbegriff „The Fappening“ über Dienste wie Reddit und Imgur weiterverteilt.

Apple reagierte auf den Hack mit einem Statement, in dem es hieß, die Bilder seien durch einen „sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen“ aus dem Speicherdienst kopiert worden. Dabei lies die Firma allerdings offen, ob auch konkrete Sicherheitslücken im Spiel waren. Apple hatte kurz zuvor eine Lücke in einer Schnittstelle des Dienstes „Mein iPhone suchen“ geschlossen, die es Angreifern erlaubt hätte, eine große Menge an Passwörtern für ein iCloud-Konto automatisiert durchzuprobieren.

Sicherheitsforscher Jonathan Zdziarski war nach einer Analyse des Angriffs zu dem Schluss gelangt, dass viele der gestohlenen Fotos aus iCloud-Backups stammen, die wohl über einen längeren Zeitraum heruntergeladen und gesammelt wurden. Apple-Chef Tim Cook will nun die Sicherheit des Dienstes verbessern. Nutzer sollen per E-Mail und Push-Nachricht informiert werden, wenn jemand versucht, ihr Passwort zu ändern, iCloud auf einem neuen Gerät erstmalig nutzt oder das iCloud-Backup herunterlädt. (fab)

Datenschützer mahnen Mail-Server-Betreiber

Die bayrischen Datenschützer haben den E-Mail-Server-Test aus c’t 9/14 aufgegriffen und über 2000 Firmen-Mail-Server untersucht. Bei rund einem Drittel der Unternehmen mahnten sie danach das Fehlen von Transportverschlüsselung und Forward Secrecy an. Denn die gehören mittlerweile zum Stand der Technik. Und gemäß dem Bundesdatenschutzgesetz seien Unternehmen verpflichtet, „Verschlüsselungsverfahren in angemessenem Umfang bei den von Ihnen eingesetzten Mailservern nach dem Stand der Technik zu verwenden“. Die Unternehmen wurden aufgefordert, etwaige Lücken zu schließen; versäumen sie dies, könnten sie mit einem Bußgeld belegt werden. (Monika Ermert/ju)

App von Kabel Deutschland gibt Kundendaten preis

Die von Kabel Deutschland angebotene Programm-Manager-App für Android und iOS überträgt die Zugangsdaten ihrer Nutzer unter anderem beim Einloggen im Klartext. Das ist grob fahrlässig – ein Angreifer kann sie mühelos mitschneiden und damit den Kabel-Deutschland-Anschluss des App-Nutzers manipulieren. Dafür muss er nicht mal das gleiche Netz benutzen: Ist sein Opfer an einem öffentlichen Hotspot angemeldet, genügt es in der Regel, in Funkreichweite passiv die unverschlüsselten WLAN-Pakete mitzuschneiden.

Mit der App kann man zwar nur den digitalen TV-Recorder programmieren, mit den Zugangsdaten kann man sich allerdings auch im Kundenbereich von Kabel Deutschland anmelden. Ein Angreifer kann dort allerhand Unheil anrichten: etwa kostenpflichtige Angebote buchen, auf E-Mail-Konto und Cloud-Speicher des Opfers zugreifen und sogar Rufumleitungen anlegen. Gerade Letzteres ist eine gängige Masche von Betrügern: Sie legen bei ihren Opfern eine Rufumleitung auf eine Premium-Rufnummer an und rufen dann die Festnetznummer des Opfers an. Die Kosten für die teure Umleitung landen auf der Rechnung des Anschlussinhabers.

Von c’t über den Sachverhalt informiert, teilte Kabel Deutschland mit, dass man sich des Problems bewusst sei. Man arbeite bereits an der Lösung. (rei)

Sicherheits-Notizen

Enigmail, das Verschlüsselungs-Plug-in für Thunderbird, hatte bis Version 1.7.2 eine Lücke, die dazu geführt hat, dass Mails unter Umständen nicht verschlüsselt wurden. Dazu hätte man die Nachricht allerdings ausschließlich an BCC-Empfänger senden müssen.

Microsoft hat am September-Patchday 37 Sicherheitslücken im Internet Explorer geschlossen, die zum Teil bereits im großen Stil ausgenutzt werden, um Nutzern Schadcode unterzuschieben. Das entsprechende kritische Sicherheits-Update sollte unbedingt installiert werden.

Auch Adobe hat am Patchday eine kritische Lücke in Flash gestopft. Weitere Updates für Reader und Acrobat sollen folgen, waren bei Redaktionsschluss allerdings noch nicht erschienen.

Artikel kostenlos herunterladen

Anzeige