Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Ist das mTAN Verfahren noch sicher? - Illustration zu IT-Sicherheitsbewusstsein und Mitarbeiterschulung
Security Awareness

Ist das mTAN Verfahren noch sicher?

Das BSI hat das mTAN Verfahren als unsicher eingestuft. So könnte ihr Konto leergeräumt werden. So können sie sich schützen!

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 16. September 2024 3 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Inhaltsverzeichnis (4 Abschnitte)

Das mTAN Verfahren wurde in der letzten Woche für unsicher erklärt. Nicht nur das BSI haben die Meldung herausgegeben, auch zahlreiche andere Medien haben sich dem angeschlossen.  Aber was steckt hinter dem Angriff? Sind alle online Konten nun in Gefahr?

Um das mTAN Verfahren auszuhebeln ist viel Vorarbeit nötig!

Nein. Nicht alle Konten sind in Gefahr wenn man sich umsichtig verhält. Damit das mTAN Verfahren ausgehebelt werden kann ist nämlich ein erfolgreicher Phishing-Angriff Voraussetzung. Doch die geringen Hürden und die Deregulierung des SS7 Netzes - welches für Roaming, Rechnungsstellung und den SMS-Versand nötig sind und weltweit zum Einsatz kommt - bilden die Grundlage für den erfolgreichen Angriff auf das Konto.

So könnte ihr Konto geräumt werden, wenn das mTAN Verfahren genutzt wird.

Der Angreifer braucht ihr Zugangsdaten zum online Banking. An diese Informationen gelangt der Angreifer, in dem er mit Phishing Mails arbeitet. Dabei werden nicht nur die Zugangsdaten abgefragt - sondern auch die Handynummer. Im Gegensatz zu den Zugangsdaten zum online Banking empfinden (gefühlt) viele die Handynummer nicht als sensible Informationen. Doch um die SMS abzufangen, ist sie unbedingt nötig. Ist der Phishing-Angriff erfolgreich - und der Angreifer im Besitz von Zugangsdaten und Handynummer - wird mithilfe des SS7 Netzes, bei dem sich der Angreifer für wenige Tausend Euro als Mobilfunkanbieter registrieren lassen hat, eine Umleitung für die Handynummer eingerichtet. Jetzt hat der Angreifer alle nötigen Informationen um online Banking in Ihrem Namen durchzuführen. Wir fassen zusammen was nötig ist:

  • Sie müssen auf einen Phishing Angriff hereinfallen
  • Der Angreifer benötigt ihre Zugangsdaten
  • Der Angreifer benötigt ihre Handynummer, auf der die mTAN gesendet werden
  • Der Angreifer muss auf das SS7 Netz zugreifen können

Da Sie die mTANs nach wie vor empfangen, finden die Angriffe auf das Bankkonto häufig nachts statt. https://www.youtube.com/watch?v=zOxDRkt5AdI

Das mTAN Verfahren kann in den Ruhestand - es gibt Alternativen!

Jetzt könnte man die Zugangskontrollen für das SS7 Netz erhöhen, um mTAN wieder sicher zu machen. Voraussichtlich wird dies auch geschehen - doch am mTAN Verfahren sollte man nicht unnötig festhalten. Um auch in Zukunft beim online Banking gut aufgestellt zu sein, verabreden Sie einen Termin mit dem Bankberater Ihres Vertrauens. Eine gern genutzte Alternative ist z.B. das ChipTAN Verfahren.

Meine Meinung zum mTAN Verfahren.

Die Aushebelung einer Zwei-Faktor-Authentifizierung ist schon mit viel Aufwand verbunden. Aber der Angriff zeigt, dass auch diese Verfahren durchaus angegriffen werden kann. In der Vergangenheit gab es aber auch andere Angriffe die erfolgreich waren. Schäden werden aber häufig von den Banken reguliert. Da ein erfolgreicher Phishing-Angriff Voraussetzung für den Angriff ist, muss man nicht hektisch werden. Eine erhöhte Sensibilität beim Umgang mit dem online Banking ist aber angebracht. Ein Wechsel zum ChipTAN Verfahren macht aber durchaus Sinn. Vom PushTAN Verfahren rate ich grundsätzlich ab.

Weitere Informationen und Quellen

[1] Schwachstellen im Mobilfunknetz: Stellungnahme des BSI (bsi.bund.de)

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung