Online-Banking per App unsicher

Hacker knacken pushTAN-App der Sparkasse

Immer mehr Banken ermöglichen Online-Banking über pushTAN-Apps auf dem Smartphone. Sicherheitsforscher haben auf dem Chaos Communication Congress am Beispiel der Sparkassen-App gezeigt, wie unsicher das Verfahren ist.

Banking-Apps der Sparkasse

© FAU

Beim pushTAN-Verfahren kommen zwei Banking-Apps auf einem Gerät zum Einsatz.

Das neue pushTAN-Verfahren, das Banken wie die Hypovereinsbank, die Sparkassen, die DKB oder die VR-Banken derzeit einführen und bewerben, klingt vielversprechend. Man braucht keinen zusätzlichen TAN-Generator mehr. Ein Smartphone mit zwei Apps seiner Bank reicht aus, um eine Überweisung abzuschließen.

Dabei gibt man auf seinem Smartphone in der ersten App die Überweisungsdaten ein. Diese werden an die Bank übermittelt, die eine TAN erstellt und an die zweite App schickt. Nun muss der Nutzer die TAN aus der zweiten App in die erste App übertragen, um seine Überweisung abzuschließen. Der TÜV hat dieses Verfahren als besonders sicher eingestuft und zertifiziert.

Die IT-Sicherheitsforscher Vincent Haupert und Tilo Müller der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) stellen nun die Sicherheit des pushTAN-Verfahrens in Frage, wie sie auf dem 32. Chaos Communication Congress (32C3) in Hamburg demonstrierten. Anhand eines Hacking-Angriffs auf die Sparkassen-App zeigten sie die Anfälligkeit des Systems auf. Bei dem beispielhaften Angriffsszenario, das nach Angaben der Forscher auch mit Apps von anderen Banken funktioniere, wurde über die Banking-App eine Überweisung in Höhe von 10 Cent getätigt. Anschließend änderten die Hacker sowohl den Betrag als auch den Empfänger der Überweisung, ohne dass dies für das (fiktive) Opfer erkennbar gewesen wäre.

Der Angriff sei technisch anspruchsvoll gewesen, da die Apps durchaus über Schutzmechanismen verfügen, so die Forscher. Außerdem müsse auf dem Smartphone des Opfers Schadcode ausgeführt werden. Das Gerät, mit dem der Angriff demonstriert wurde, war zudem gerootet, sodass möglicherweise zusätzliche Sicherheitsfunktionen außer Kraft gesetzt waren.

Dennoch verweisen Haupert und Müller darauf, dass das grundsätzliche Sicherheitsproblem des pushTAN-Verfahrens auch durch eine verbesserte Programmierung der Apps nicht gelöst werden könne. Der Unsicherheitsfaktor liege in der schwachen "Zwei-Faktor-Authentifikation", da die TAN auf demselben Gerät empfangen wird, mit dem auch die Überweisung durchgeführt wird. So könne das Verfahren grundsätzlich nicht vor Banking-Trojanern schützen.

Nach den Erkenntnissen der Sicherheitsforscher müssen Nutzer des pushTAN-Verfahrens nicht automatisch um ihre Ersparnisse fürchten, vor allem wenn sie auf ihrem Smartphone Vorkehrungen gegen Schadsoftware getroffen haben. Dennoch sei das chipTAN-Verfahren, bei dem mit Hilfe eines TAN-Generators und der Bankkarte des Nutzers eine TAN erzeugt wird, nach wie vor die sicherere Variante. Das pushTAN-Verfahren sei zwar komfortabler, doch die Nutzer sollten sich über mögliche Risiken im Klaren sein.

Mehr zum Thema

Locky: Word-Makros deaktivieren
Was tun?

Der Trojaner Locky legt wieder Rechner lahm: Wir zeigen, wie Sie eine Infektion vermeiden! Dazu gibt es Handlungsempfehlungen für Betroffene.
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…
Paypals Pilotprojekt Check-In erlaubt bargeldloses Zahlen im Alltag.
Sicherheit

PokeCoins sind die Ingame-Währung für Pokémon Go. Nun versprechen Betrüger Gratis-Geld per Generator-Tools – statt PokeCoins winkt jedoch…
© wk1003mike / shutterstock
Sicherheit

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.
WhatsApp
Nach Widerspruch

Nachdem Nutzer den neuen WhatsApp-AGB widersprochen haben, lässt sich der Account nicht mehr löschen. Dafür hätten sie den AGB umstrittenerweise…