Online-Banking: Mobile Transaktionen als großes Risiko, Erlangener Forscher knacken Sparkassen-App

Das Online Banking ist aus dem modernen Zahlungsverkehr kaum noch wegzudenken. Seitdem Siegeszug Tablet PC und Smartphone ihren Siegeszug angetreten haben, möchten Bankkunden vermehrt auch mit ihnen Online Banking betreiben. Doch dabei sollte die Sicherheit nicht vernachlässigt werden. Aus den aktuellen Medienberichten lässt sich entnehmen, dass es Forschern an der Friedrich-Alexander-Universität Erlangen-Nürnberg gelungen ist, die erst kürzlich herausgegebene App der Sparkasse für das mobile TAN – Verfahren zu täuschen. Hierüber berichtet ilex Rechtsanwälte.

Die neuen App-TANs – Wie funktionieren sie?

Praktisch, schnell und „to go“. Bankgeschäfte auch unterwegs erledigen zu können ist für immer mehr Bankkunden schon jetzt eine gute Alternative zum althergebrachten Gang zur Bank. Um Online Banking mit dem Smartphone noch attraktiver zu machen, entwickeln Hersteller zunehmend Apps, die TANs erzeugen. Mehr Komfort für den Bankkunden ist hierbei stets das Ziel. Während traditionell zwei Geräte erforderlich sind, eines zur Durchführung der Transaktion und eines zum Erhalt der Bestätigungs-TAN, bieten immer mehr Banken nun sogenannte App-basierte TAN-Verfahren an. Hierbei nutzt der Anwender zwei Apps auf ein und demselben Smartphone. Während mit einer Online-Banking-App die Überweisung getätigt wird, erfolgt mit der zweiten App die verschlüsselte Kommunikation mit der Bank zur Anforderung der TAN. Im Grundsatz folgt dieses Verfahren also denselben Regeln wie das mobile TAN Verfahren. Neben dem erhöhten Komfort für den Kunden bietet es laut den Werbeangaben der Hersteller auch zusätzliche Sicherheit, da es weniger Angriffsfläche für potentielle Betrüger gebe, als bei der herkömmlichen Versendung einer die mobile TAN enthaltenden SMS.

Was testeten die Erlangener Forscher?

Nun ist es Zeitungsberichten zufolge Forschern gelungen, eine mittels der Sparkassen App durchgeführte Transaktion zu manipulieren. Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz an der Friedrich-Alexander-Universität Erlangen-Nürnberg zeigten in ihrem Versuch die Sicherheitsmängel auf. Es gelang ihnen, eine Transaktionssumme von 0,10 EUR auf 13,17 EUR zu erhöhen und auch den Empfänger der Überweisung zu verändern. Der Nutzer der App hätte davon nichts bemerkt. Zwar sei der Angriff aufgrund der Schutzmechanismen der beiden Apps technisch anspruchsvoll gewesen. Jedoch mache „der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung das Verfahren für Schadsoftware zu einer leichten Beute“, so die beiden Forscher. Weiter mahnen sie an, dass sich die Sicherheitsprobleme nicht durch eine verbesserte Programmierung lösen lassen, da sie in der Struktur des Verfahrens begründet seien. Der entscheidende Nachteil der App-TANs ist nämlich, dass sich der gesamte Transaktionsvorgang auf nur einem Gerät abspielt. Eine Erleichterung für die Betrüger, denn während der Angreifer beim herkömmlichen Verfahren per ChipTAN oder mobilen TAN zwei unabhängige Geräte unter seine Kontrolle bringen muss, genügt es bei der App-Manipulation, nur in das Smartphone eine Schadsoftware einzuschleusen.

Nach Aussage der Sparkasse betreffen die vorgeführten Angriffe auf das Online-Banking nur veraltete Versionen der S-pushTAN-App. Sie hält es daher für unwahrscheinlich, dass es tatsächlich zu Schadensfällen kommen werde. 

Dies ändert jedoch nichts an der grundlegenden Schwäche, auf welche die beiden Forscher hingewiesen haben – nämlich die Nutzung nur eines einzigen Gerätes. Es bleibt die Frage: Wird die Sicherheit beim Online-Banking zugunsten der Bequemlichkeit vernachlässigt?

Dr. Ulrich Schulte am Hülse

Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht