SMS-Weiterleitung: nicht fürs Online-Banking

Mit iOS 8.1 und OS X 10.10 (Yosemite) hat Apple die SMS-Weiterleitung am iPhone eingeführt. Sie sorgt dafür, dass auf dem Smartphone eingehende Kurznachrichten kostenlos an andere Apple-Geräte weitergeschickt werden. Das wirft allerdings auch eine Reihe von Sicherheitsfragen auf, vor allem beim Online-Banking.

Die SMS-Weiterleitung wird in den Einstellungen der App „Nachrichten“ am iPhone aktiviert.
Die SMS-Weiterleitung wird in den Einstellungen der App „Nachrichten“ am iPhone aktiviert.

Voraussetzung ist – wie bei allen iCloud-Diensten – dass die Geräte mit derselben Apple-ID auf den  iCloud-Servern angemeldet sind. Außerdem muss der iPhone-Nutzer die Funktion einmalig in den Einstellungen der App „Nachrichten“ aktivieren (siehe oben). Anschließend landen nicht nur die gewohnten blauen iMessages auf iPad und Mac, sondern auch gewöhnliche SMS-Nachrichten, die beim Versand vom iPhone in einer grünen Sprechblase erscheinen. Was den Komfort erheblich steigert, kann in der Praxis zum Problem werden. Dann nämlich, wenn der iPhone-Besitzer den SMS-Empfang fürs Online-Banking benutzt. Beim sogenannten mTAN-Verfahren (mobile TAN) schickt die Bank bekanntlich die einzelnen Transaktionsnummern per Kurznachricht aufs Handy.

Dabei verlangen die Kreditinstitute eine strikte Kanaltrennung. Das heißt: Die mTAN darf nicht auf demselben Gerät empfangen werden, auf dem die Online-Transaktion stattfindet. Die Aussage der Deutschen Kreditwirtschaft ist dazu mehr als eindeutig und auf der Webseite des Dachverbands nachzulesen:

„Dies impliziert bereits, dass die Verwendung des mobileTAN-Verfahrens z. B. über nur ein mobiles Smartphone für beide Kommunikationsstrecken nicht zulässig ist und daher in den Kundenbedingungen für das Online-Banking explizit ausgeschlossen wird.“

Eine SMS-Weiterleitung hebt die Kanaltrennung auf, weil der Apple-Nutzer damit mTANs auf demselben Mac oder iPad empfängt, auf dem auch seine Banking-Software läuft. Er verstösst damit höchst wahrscheinlich gegen die Nutzungsbedingungen seiner Bank, was bei Unstimmigkeiten auf dem Konto zu weiterem Ärger führen kann. Welche Möglichkeiten Hacker und Betreiber von Phishing-Seiten in dem neuen Verfahren sehen, muss die Zukunft erst noch zeigen. In jedem Fall hebelt die SMS-Weiterleitung auch Teile von Apples eigenem Sicherheitssystem aus. Vor kurzem erst hat das Unternehmen für Apple-IDs in Deutschland die zweistufige Bestätigung eingeführt. Dabei können sich Kunden einen SMS-Code auf ihr Handy schicken lassen, um zu verhindern, dass Unbefugte die Apple-ID verwenden. Mit eingerichteter Weiterleitungsfunktion landet der Code auf jedem  Gerät, das zum Account gehört, was die zweite Sicherungsstufe ad absurdum führt.

Die SMS-Weiterleitung schickt auch Apples eigene Sicherheitscodes auf andere Geräte.
Die SMS-Weiterleitung schickt auch Apples eigene Sicherheitscodes auf andere Geräte.

digitalzimmer.de meint: Die SMS-Weiterleitung ist zweifelsohne eine komfortable Sache. iPhone-Besitzer können mit ihr auch von anderen Apple-Geräten aus Nachrichten an beliebige Mobiltelefone versenden und von dort empfangen. Bislang ging das nur, wenn beide Teilnehmer bei iMessage registriert waren. Allerdings wirft die Funktion auch viele Sicherheitsfragen auf – weshalb der Autor dieses Blog-Beitrags sie fürs Erste wieder deaktiviert hat.