Wirkliche Sicherheit im Onlinebanking gibt es schlicht und einfach nicht. Das ist das simple Ergebnis eines Workshops zum Thema, zu dem Cortal Consors aus Demonstrationszwecken den professionellen Hacker Gunnar Porada geladen hatte. Echten Schutz, so dessen These, bietet auch die mobile TAN nicht. Immerhin aber erhöht sie den Aufwand für die kriminelle Szene.
Denn um die mobile TAN abzufangen, wird ein sogenannter IMSI-Catcher benötigt. Mit einem solchen Gerät, wie es üblicherweise von Strafverfolgungsbehörden und Nachrichtendiensten verwendet wird, ist das Mithören der Mobilfunkkommunikation innerhalb einer Funkzelle möglich. Wird hier eine mobile TAN abgefangen, kann diese mit den zuvor gehackten Computern abgeglichen und bei einem Treffer eine Transaktion ausgelöst werden. Im Vergleich zu herkömmlichen Methoden ist das deutlich aufwendiger, muss sich doch zumindest einer der Beteiligten gewissermaßen "vor Ort" befinden. Insofern ist das "Phishing" bei Transaktionen mit mobiler TAN bisher wenig wirtschaftlich und wird deshalb noch nicht massenhaft betrieben.
Die wichtigste Botschaft, die der Hacker zu übermitteln hat: Bankkunden haben praktisch keine Möglichkeit zu erkennen, ob sie sich auf einer echten oder einer gefälschten Website befinden, ob ihre Transaktion gerade "gehackt" wird oder nicht. Das einzige, was ihnen bleibt, wenn sie - soweit überhaupt möglich - vermeiden wollen, Opfer eines Betrugs zu werden, ist: zu lernen, in Sachen Sicherheit mehr auf ihre Bank zu hören. Wenn ein Anbieter die Verfahren wieder einmal umstellt, mag das als ärgerlich oder umständlich empfunden werden. Es ist in aller Regel aber mehr als bloße Spielerei, mit der sich die Bank als innovativ darstellen will. Diese Erkenntnis beginnt zwar allmählich durchzudringen. Sie müsste aber vermutlich noch deutlicher vermittelt werden. Dass Kreditinstitute neue Sicherheitsverfahren heute meist nicht länger als bloße Option für Sicherheitsbewusste anbieten, sondern nach einer gewissen Übergangszeit die alten Verfahren schlicht einstellen, ist hier vermutlich der einzig richtige Weg. Red.