Nutzer, die Online-Banking mit Smartphone und Tablet erledigen, sollten sich mal wieder Gedanken um die Sicherheit der Transaktionsabsicherung machen. Die mittlerweile von Banken angebotenen App-TANs sind potentiell unsicher.
Anzeige
Ich habe das Thema vor ein paar Tagen bereits in meinem IT-Blog angerissen: Smartphones Apps zur Erzeugung von TANs beim Online-Banking sind als unsicher zu betrachten. Die Schwachstelle ist dem Umstand geschuldet, dass die Banking-App sowie die App zum Erzeugen der TANs auf dem gleichen Gerät laufen. Ist das Gerät durch Schadsoftware befallen, lassen sich die Sicherheitsmaßnahmen aushebeln. Forscher der Uni Erlangen weisen auf das Problem hin und kritisieren in diesem Zusammenhang, dass die S-pushTAN-Lösung der Sparkassen potentiell unsicher sei (aber das gilt wohl generell für App-TAN-Lösungen aller Banken).
Worum geht es?
Beim Online-Banking benötigt man nicht nur die Zugangsdaten samt Kennwort, sondern muss auch Transaktionen (Überweisungen etc.) durch Transaktionsnummern (TANs) autorisieren. Hier haben die Banken verschiedene Lösungen im Angebot. Die Verifizierung der TAN über ein Handy bzw. Mobilgerät ist keine sichere Lösung. Darauf hatte ich vor einiger Zeit im Artikel Online-Banking: mTAN und Banking-Apps unsicher hingewiesen.
Banken bieten aber auch Apps zur TAN-Berechnung an (was recht komfortabel ist). Die obige Abbildung stammt von der Ing-Diba, die das Verfahren unter dem Begriff smartsecure hier auf ihrer Webseite erklärt. Zitat:
- Auftrag wie gewohnt auf dem PC, Tablet oder Smartphone eingeben
- SmartSecure App öffnen und Auftrag mit einem Fingertipp freigeben
Dann wird der Auftrag ausgeführt und der Kunde erhält sofort eine Bestätigung. Was auf den ersten Blick genial ausschaut, hat einen gravierenden Haken. Die Zweifaktor-Autorisierung über zwei Geräte entfällt. Ist das Mobilgerät mit der App durch Schadsoftware befallen und wird dort eine App zur TAN-Freigabe genutzt, kann dies missbraucht werden.
Sicherheitsforscher konnten die App-TAN-Freigabe aushebeln
Theoretisch gibt es Sicherheitsmaßnahmen, um die korrekte App-TAN-Freigabe abzusichern. Aber die bereits erwähnten Forscher aus Erlangen kritisieren den Ansatz und haben in einem Versuch einen Angriff auf die Kombination der Sparkasse-App und der S-pushTAN-Lösung auf einem Smartphone demonstriert. Dabei konnte die Überweisung auf ein anderes Konto als vom Kunden angegeben, umgeleitet werden. Die Internetseite heise.de hat einen Beitrag zum Thema veröffentlicht.
Falls also Online-Banking genutzt wird, empfiehlt sich in meinen Augen (momentaner Kenntnisstand) entweder die Absicherung mittels des HBCI-Standards (wird selten angeboten und die Lösung läuft nicht überall). Oder man verwendet einen, von vielen Banken angebotenen, TAN-Generator in Verbindung mit der Chipkarte (EC- bzw. Bankkarte) – siehe diese Seite.
Werbung
Die obige Abbildung zeigt einige häufig eingesetzte TAN-Generatoren der Firma Reiner aus einem Sparkassen-Shop. Die Generatoren kosten nicht viel und laufen mit Knopfzellen über Jahre. Nur wer die Bankkarte besitzt, kann mit dem Online-Konto Überweisungen tätigen. Bei jeder Überweisung wird ein optischer "Flickercode" im Browser im Formular angezeigt. Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der Überweisung eingetragen. Hier findet sich eine Erklärung auf einer Bankseite. Da die TAN für jeden Vorgang einzeln generiert wird und keine Funkverbindung zum TAN-Generator besteht, gilt dieses Verfahren als sicher. Das Ganze funktioniert auch auf einem Tablet PC (Android oder Apple iPad) – und wohl auch auf einem Smartphone, wenn die Bildschirmgröße stimmt und das Feld zum Lesen des Flickercodes groß genug angezeigt wird.
Ähnliche Artikel:
Online-Banking-Betrug bei Telekom-Mobilfunkkunden
Online-Banking: mTAN und Banking-Apps unsicher
Online-Banking-Riskio: Trojaner und mTAN-Betrugsmasche
