Sparen Sie Zeit und übernehmen Sie Daten aus Ihrem Kundenkonto.
Neuer Kunde? Starten Sie hier.
Merkzettel
Merkzettel
Merkzettel
Ihr Merkzettel ist leer.
Bitte melden Sie sich in Ihrem Kundenkonto an, um Ihren Merkzettel zu sehen.
089 - 24 24 11 12 Hilfe und Kontakt
Telefonische Expertenberatung
Montag - Freitag von 8:00 - 20:00 Uhr
Gerne kontaktieren Sie uns per E-Mail:
girokonto@check24.de

Wir antworten in der Regel innerhalb
von 24 Stunden. (Mo. - Fr.)
Punkteteilnehmer werden: 5 € sichern
Ihr Browser wird nicht mehr unterstützt.
Damit Sie auch weiterhin schnell und sicher auf CHECK24 vergleichen
können, empfehlen wir Ihnen einen der folgenden Browser zu nutzen.
Trotzdem fortfahren
Sie sind hier:
App-TAN-Verfahren betroffen
A A A

Forscher zeigen Sicherheitslücken bei 31 Onlinebanking-Apps auf

München, 27.11.2017 | 14:14 | sap

IT-Wissenschaftler haben Schwächen bei 31 Onlinebanking-Apps aufgedeckt. Die Forscher konnten Empfänger ändern und TAN abgreifen. So reagieren die Institute.

Beim Mobile Banking lauern auf die Nutzer einige Gefahren. Foto: iStock
Beim Mobile Banking sollten sich Nutzer einiger Gefahren bewusst sein. Foto: iStock
Banking-Apps werden bei den Deutschen beliebter. Laut einer Bitkom-Studie von Juni 2016 sind es bereits 30 Prozent, die via Smartphone und Tablet Bankgeschäfte dank Onlinebanking-App erledigen. Der Vorteil ist, dass die Kunden immer und überall Geld überweisen können. Vincent Haupert und Nicolas Schneider, IT-Wissenschaftler aus Erlangen, haben schon im letzten Jahr auf Schwachstellen hingewiesen. Nun zeigen sie erneut, dass Hacker Sicherheitslücken in der App ausnutzen können.

Wie die „Süddeutsche Zeitung“ berichtet, haben die Forscher die Schutzmechanismen von insgesamt 31 Finanz-Apps überwunden und der Zeitung einige Angriffe vorgeführt. Dazu zählte unerlaubtes Ausführen und Kopieren der App bis hin zum Ändern der IBAN-Nummer und dem Versenden der Transaktionsnummer (TAN) auf beliebige Geräte. Hacker könnten also auf die Banking-App der Nutzer zugreifen und Geld auf das eigene Konto transferieren, ohne dass die Bankkunden davon etwas merken.

Alle betroffenen Banken nutzen den gleichen Banking-App-Dienstleister Promon, dessen Maßnahmen „nicht so schlecht“ seien, wie die Zeitung die Forscher zitiert. Es brauche einen komplexen Angriff, um die Schutzmechanismen zu umgehen. Versierte Hacker würden dafür ein bis zwei Monate brauchen, so die Einschätzung der Wissenschaftler – und das trotz Anleitung. Welche Voraussetzungen für das Smartphone vorlagen, also welches Betriebssystem genutzt wurde oder ob physischer Zugriff nötig war, wollen die Forscher Ende des Jahres beim Chaos Communication Congress (CCC) erläutern.

Deutsche Kreditwirtschaft: „Noch keine Angriffe bekannt“

Die Deutsche Kreditwirtschaft erklärt zu den Ergebnissen der Forscher: „Uns sind noch keine derartigen technischen Angriffe gegen Banking-Apps in der Praxis und daraus resultierende Schadensfälle bekannt.“ Man halte die Sicherheit der von den Banken und Sparkassen angebotenen Banking-Apps weiterhin für gewährleistet. Trotzdem steht die Deutsche Kreditwirtschaft nach eigener Aussage, wie auch die Anbieter der Apps, mit der Universität Erlangen-Nürnberg im direkten Dialog, um die Schwachstellen besser einschätzen und eine schnelle Abhilfe einleiten zu können. „Eine Reihe von Banking-Apps wird daher bereits in den nächsten Tagen in neuen Versionen bereitgestellt“, heißt es in der Mitteilung weiter.

Die betroffenen Banken selbst äußern sich ebenfalls zum erfolgreichen Angriff der Wissenschaftler. „Das von uns umgesetzte Verfahren, beide Kanäle auf einem Gerät zu nutzen, sehen wir unter Abwägung von Risiko und Kundennutzen als geeignet an“, zitiert die „Süddeutsche Zeitung“ einen Sprecher der Stadtsparkassen, deren App auch vom Dienstleister Promon programmiert wurde.

Nur App-TAN-Verfahren betroffen

Der Angriff galt nur dem App-TAN-Verfahren. Unter App-TAN-Verfahren versteht man, dass der Nutzer Onlinebanking-App und eine bankeigene App, welche die TAN generiert, auf ein und demselben Gerät verwendet. Ähnliche strukturelle Schwächen beim App-TAN-Verfahren hatte Haupert mit seinem Kollegen Tilo Müller bei den Stadtsparkassen schon im Jahr 2015 aufgedeckt. Damals attestierten sie: „Letztendlich kann insbesondere die Implementierung der S-push-TAN-App zwar als technisch stark und hochwertig, deren grundsätzliche Konzeption aber als schwach und angreifbar bewertet werden.“

Haupert wiederholte in dem Bericht der „Süddeutschen Zeitung“, dass es keinen richtigen Weg gebe, sich bei Banking-Verfahren auf ein einzelnes Gerät zu verlassen. Das betont auch das Bundesamt für Information und Sicherheit (BSI). „Sichere TAN-Verfahren nutzen einen zweiten Faktor und eine zusätzliche Hardware, die nicht das Smartphone ist“, heißt es von der Behörde. Dazu zählen unter anderem das ChipTAN- und HBCI-Verfahren. Bei dieser sogenannten Zwei-Wege-Authentifizierung minimieren Kontoinhaber das Risiko eines Missbrauchs.

Weitere Nachrichten