Online-Banking per App unsicher

Hacker knacken pushTAN-App der Sparkasse

Immer mehr Banken ermöglichen Online-Banking über pushTAN-Apps auf dem Smartphone. Sicherheitsforscher haben auf dem Chaos Communication Congress am Beispiel der Sparkassen-App gezeigt, wie unsicher das Verfahren ist.

Banking-Apps der Sparkasse

© FAU

Beim pushTAN-Verfahren kommen zwei Banking-Apps auf einem Gerät zum Einsatz.

Das neue pushTAN-Verfahren, das Banken wie die Hypovereinsbank, die Sparkassen, die DKB oder die VR-Banken derzeit einführen und bewerben, klingt vielversprechend. Man braucht keinen zusätzlichen TAN-Generator mehr. Ein Smartphone mit zwei Apps seiner Bank reicht aus, um eine Überweisung abzuschließen.

Dabei gibt man auf seinem Smartphone in der ersten App die Überweisungsdaten ein. Diese werden an die Bank übermittelt, die eine TAN erstellt und an die zweite App schickt. Nun muss der Nutzer die TAN aus der zweiten App in die erste App übertragen, um seine Überweisung abzuschließen. Der TÜV hat dieses Verfahren als besonders sicher eingestuft und zertifiziert.

Die IT-Sicherheitsforscher Vincent Haupert und Tilo Müller der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) stellen nun die Sicherheit des pushTAN-Verfahrens in Frage, wie sie auf dem 32. Chaos Communication Congress (32C3) in Hamburg demonstrierten. Anhand eines Hacking-Angriffs auf die Sparkassen-App zeigten sie die Anfälligkeit des Systems auf. Bei dem beispielhaften Angriffsszenario, das nach Angaben der Forscher auch mit Apps von anderen Banken funktioniere, wurde über die Banking-App eine Überweisung in Höhe von 10 Cent getätigt. Anschließend änderten die Hacker sowohl den Betrag als auch den Empfänger der Überweisung, ohne dass dies für das (fiktive) Opfer erkennbar gewesen wäre.

Der Angriff sei technisch anspruchsvoll gewesen, da die Apps durchaus über Schutzmechanismen verfügen, so die Forscher. Außerdem müsse auf dem Smartphone des Opfers Schadcode ausgeführt werden. Das Gerät, mit dem der Angriff demonstriert wurde, war zudem gerootet, sodass möglicherweise zusätzliche Sicherheitsfunktionen außer Kraft gesetzt waren.

Dennoch verweisen Haupert und Müller darauf, dass das grundsätzliche Sicherheitsproblem des pushTAN-Verfahrens auch durch eine verbesserte Programmierung der Apps nicht gelöst werden könne. Der Unsicherheitsfaktor liege in der schwachen "Zwei-Faktor-Authentifikation", da die TAN auf demselben Gerät empfangen wird, mit dem auch die Überweisung durchgeführt wird. So könne das Verfahren grundsätzlich nicht vor Banking-Trojanern schützen.

Nach den Erkenntnissen der Sicherheitsforscher müssen Nutzer des pushTAN-Verfahrens nicht automatisch um ihre Ersparnisse fürchten, vor allem wenn sie auf ihrem Smartphone Vorkehrungen gegen Schadsoftware getroffen haben. Dennoch sei das chipTAN-Verfahren, bei dem mit Hilfe eines TAN-Generators und der Bankkarte des Nutzers eine TAN erzeugt wird, nach wie vor die sicherere Variante. Das pushTAN-Verfahren sei zwar komfortabler, doch die Nutzer sollten sich über mögliche Risiken im Klaren sein.

Mehr zum Thema

Cyberkriminelle sind aktuell mit Phishing-Mails hinter Paypal-Kunden her.
Online-Shopping

Zu Weihnachten boomt der Online-Handel. Das wissen auch Cyberkriminelle, die vermehrt Phishing-Angriffe starten. Mittlerweile warnt sogar die Polizei.
Adobe gehackt: Hacker haben Daten von 2,9 Millionen Adobe-Kunden gestohlen.
Sicherheits-Update

Adobe hat ein Update für den Flash Player bereit gestellt, dass 19 teils kritische Sicherheitslücken schließt.
Locky: Word-Makros deaktivieren
Was tun?

Der Trojaner Locky legt täglich Tausende Rechner lahm: Wir zeigen, wie Sie eine Infektion vermeiden! Dazu gibt es Handlungsempfehlungen für…
Kaspersky Total Security 2016
Antivirus-Software

Sie brauchen noch ein Antivirenprogramm? Kaspersky Internet Security 2016 gibt es als Key für eine Jahreslizenz bei Ebay ab 16,90 Euro zu kaufen!
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…