Online-Banking-Kunden der Sparkassen können Überweisungen oder andere Transaktionen über TAN-Apps autorisieren. Sollte man aber aus Sicherheitsgründen nicht tun. Und von ähnlichen Lösungen anderer Banken würde ich ebenfalls die Finger lassen. Worum geht es genau?
Anzeige
Online-Banking per Smartphone und Tablet erledigen ist komfortabel, und soll – speziell mit den von der Sparkassen-Organisation angebotenen App-TANs laut deren Aussage sicher sein. Dem ist leider mitnichten so – es muss vielmehr vor der Verwendung von App-TANs gewarnt werden. Ich hatte das Thema bereits im Oktober 2015 im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher aufgegriffen.
Die Sparkassen-Informatik hatte seinerzeit reagiert und die "unsicheren" Apps als "veraltet" klassifiziert. Mit aktuellen Versionen der S-pushTAN-App sei das Verfahren sicher. Diese Hoffnung hat sich leider als Trugschluss erwiesen. Sicherheitsforscher der Uni Erlangen, die auch schon die ersten Sicherheitslücken im App-TAN-Verfahren aufgedeckt haben, sind erneut fündig geworden. In der aktuellen Version 1.0.7 der S-pushTAN-App (vom 7. Dezember 2015) gibt es ebenfalls Möglichkeiten, die TAN-Authentifizierung anzugreifen. Das Ganze ist auf dem aktuell stattfindenden 32. Chaos Communication Congress (32C3) in Hamburg von den Sicherheitsforschern präsentiert worden.
Bei Interesse einfach den Artikel 32C3: pushTAN-App der Sparkasse nach wie vor angreifbar bei heise.de durchlesen. Übrigens: bei anderen Banken zum Einsatz kommende, ähnliche Lösungen sind wohl ebenfalls angreifbar. Wer auf Sicherheit bedacht ist, aber auf Online-Banking nicht verzichten mag, verwendet dies von mir im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher beschriebenen TAN-Generatoren.
Anzeige
Diese Lücke kann nur genutzt werden, wenn entsprechende Manipulationen am Gerät/App durchgeführt wurden. beim normalen Einsatz kommt es ja nicht zu dem Szenario.
Den Forschern ging es darum aufzuzeigen, dass wenn Programm und mTAN (über SMS) auf >einem< Gerät vorhanden ist, es zu Probleme kommen kann.
(wobei SMS/SIM zudem noch eine weitere Problematik hat = clone der SIM)
Dh. der Einsatz von pushTAN und bspw. einem zweiten mobilen Gerät oder einem PC ist sicher (!) bzw. genau so sicher wie die TAN Generatoren.