Probleme bei 31 Banking-Apps So schützen Sie sich vor der Sicherheitslücke

IT-Experten haben eine weit verbreitete Lücke in Banking-Apps entdeckt. Hacker könnten sie nutzen, um Überweisungen auf eigene Konten umzuleiten. Um sich zu schützen, sollten Nutzer vor allem eines beachten.

Banking am Smartphone
DPA

Banking am Smartphone

Von


Auf dem Smartphone wird der Empfänger richtig angezeigt, die IBAN stimmt. Nun muss der Nutzer die Überweisung nur noch bestätigen, dann sollte das Geld auf dem gewünschten Konto landen. Doch Wissenschaftlern der Friedrich-Alexander-Universität Erlangen ist es gelungen, das Geld heimlich auf ein anderes Konto umzuleiten. Der Nutzer merkt davon nichts. Einem Bericht der "Süddeutschen Zeitung" zufolge weisen mehr als 30 Banking-Apps diese Sicherheitslücke auf.

Zu den betroffenen Anwendungen zählen dem Bericht zufolge unter anderem die Banking-Apps der Commerzbank, der Comdirect, der Fidor Bank und der Stadtsparkassen. Damit kriminelle Hacker die Sicherheitslücke ausnutzen könnten, müssten die Bank-Apps parallel zu einer App auf demselben Smartphone laufen, die Transaktionsnummern (TAN) generiert. Nur dann könnten Angreifer die TAN abgreifen und gleichzeitig die Überweisung manipulieren, heißt es. Wer für Banking und TAN-Verfahren zwei Geräte nutzt, ist demnach zumindest vor dieser Lücke sicher.

IT-Experte Vincent Haupert will Ende des Jahres auf der Hackerkonferenz des Chaos Computer Clubs zeigen, wie der Angriff funktioniert. Die Schwachstelle liegt seinen Angaben zufolge in der Software der Firma Promon, die viele Banken verwenden. Das Tool ist in viele Banking- Apps integriert und soll die Anwendungen gegen Schadsoftware und Manipulationen von außen abschotten. Doch das funktioniert offenbar nicht wirklich zuverlässig. "Die Banken haben sich mit Smartphone-Apps auf eine Plattform begeben, die sie nicht kontrollieren können", sagt Haupert im Gespräch mit dem SPIEGEL.

Updates sind bereits geplant

Grundsätzlich habe Haupert nichts gegen Banking-Apps. "Problematisch wird es erst, wenn man TAN-Apps parallel auf dem Smartphone benutzt." Dann hilft auch die Sicherheitssoftware nicht mehr. "Promon kann Banking-Apps nicht wie versprochen schützen." Und auch wenn der Dienstleister angekündigt hat, den Fehler in den kommenden Wochen zu beheben, bleibe ein Risiko. "Solche Maßnahmen sind immer technisch umgehbar."

Der Verband Deutsche Kreditwirtschaft hat inzwischen gemeldet, die potenzielle Sicherheitslücke zu aktualisieren. "Eine Reihe von Banking-Apps wird bereits in den nächsten Tagen in neuen Versionen bereitgestellt", heißt es vonseiten des Verbandes. Bisher seien noch keine Angriffe oder Schadensfälle in der Praxis bekannt geworden.

Auch die Elster-App ist anfällig für Manipulationen

Neben den Banking-Anwendungen ist offenbar auch die Elster-App des Bayerischen Landesamts für Steuern betroffen, die ebenfalls von Promon geschützt wird. Haupert zufolge sei es technisch möglich, das Software-Zertifikat zu kopieren. Dieses Zertifikat wird etwa dafür benötigt, um die elektronische Steuererklärung abzuschicken oder einzusehen.

Die Sicherheitslücke ermöglicht theoretisch einen automatisierten Angriff aus der Ferne. Sprich: Wenn es kriminellen Hackern gelingt, etwa über eine manipulierte App einen Schadcode auf Smartphones einzuschleusen, könnten Banking-Apps automatisiert dazu gezwungen werden, Überweisungen auf das Konto der Angreifer zu umzulenken. Kritisch sei das hauptsächlich auf Android-Geräten, sagt Haupert. "Vor allem im Android-Bereich gibt es ein großes Problem mit der Update-Politik."

Mehr zum Thema bei SPIEGEL Plus

Allerdings sei der Angriff sehr kompliziert, sagt Haupert. Auch für versierte Hacker sei es kaum möglich, die Attacke in kurzer Zeit nachzuahmen. Der IT-Experte rät: "Man sollte vorsichtig sein, was man sich aufs Handy lädt." Außerdem sollte man nicht Banking-App und TAN-App gleichzeitig auf dem Smartphone installieren. Besser sei es, sich die TAN auf Smartphone oder Tablet schicken zu lassen und die Überweisung am PC zu machen. Oder man setzt auf ein alternatives TAN-Verfahren wie ChipTAN, das mithilfe eines Kartenlesers ein Kennwort erzeugt.

Was sind TAN-Verfahren?
Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Onlinebanking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, in dem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.

Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Onlinebanking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.
Welche TAN-Verfahren sind in Deutschland im Einsatz?
Anfragen von Ende 2016 bei den elf wichtigsten Privatkundenbanken mit Girokonto-Angeboten zeigen: Alle großen Banken bieten ihren Kunden mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwendiger erscheinendes Verfahren drängt.

Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken.

Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz - wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.

iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr.
Welches Verfahren ist am beliebtesten?
Besonders populär ist hierzulande das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.

Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen.
Welche Verfahren gelten als sicher?
Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwendig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.

Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extragerät fürs Onlinebanking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.

SPIEGEL ONLINE sagte er schon 2015: "Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy.

In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Onlinebankings per Smartphone. TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro.
Was passiert, wenn die TAN-Absicherung versagt?
In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheitsgarantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung."
Setzen sich bald biometrische TAN-Verfahren durch?
In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

Mit Material von dpa



insgesamt 38 Beiträge
Alle Kommentare öffnen
Seite 1
Bürger Icks 24.11.2017
1. Vor allem eines beachten:
Nichts im Netz ist sicher, wie man ja jeden Tag zu sehen bekommt, und deshalb sollte man auf Dinge wie Homebanking komplett verzichten! So einfach ist das, ein Prozent weniger Bequemlichkeit und die Sicherheit steigt. Sonst wird doch alles der angeblichen Sicherheit geopfert, wenn es zum Beispiel um Freiheit und Terrorismus geht, aber im Netz scheint ja niemand bedroht zu sein, von nix. Aber klar, wenn man ja auch nichts, aber auch gar nichts zu verbergen hat... ;)
kalsu 24.11.2017
2. Sichere Software ist ein Mythos!
Jede Software kann gehackt werden. Es ist nur ein Frage von Können, Zeit und Aufwand.
Airkraft 24.11.2017
3. Das ist doch...
Das ist doch Allgemeinwissen, dass man für Banking und TAN-Verfahren zwei Geräte nutzt. Alles andere ist fahrlässig!
Georg_Alexander 24.11.2017
4. Authentifizierung mit mTAN besser gesichert?
Habe mal testweise versucht, eine Online-Überweisung auf dem Smartphone zu machen, auf dem ich auch die mTAN-SMS empfange: Geht nicht. Die Fehlermeldung lautete in etwa "mTAN-Empfang und OnlineBanking auf dem selben Gerät ist aus Sicherheitsgründen ausgeschlossen!". Das mTAN-Verfahren scheint nicht so leicht zu überlisten zu sein, da die physische Trennung der 2 Kommunikationskanäle von der Bank aus überprüfbar ist. Also Finger weg von iTAN-Listen, TAN-Generator-Apps u. ä..
pek 24.11.2017
5. Deutschland ...
ist das Land der Hysteriker. Gefahren wo immer man hin schaut. Ja, das Leben ist lebensgefährlich. Was hilft ist ein bisschen Menschenverstand. Ich habe die letzten 15 Jahre auf allen 5 Kontinenten Online-Banking gemacht, vom eigenen Rechner genau so wie aus Internet-Cafes und -glauben sie mir- es ist nie etwas geschehen. Mag sein das meine Bank (die DIBA) besonders sichere Software hat. Ich glaube aber das die Dummheit der User in den allermeisten Fällen Schuld daran ist wenn was passiert. Erste Regel: Schau auf den Bildschirm! Wenn dir dort etwas komisch vorkommt - Abbruch, Stecker ziehen. Allerdings hab ich sowas noch nie erlebt. Und ich bin den ganzen Tag online. Und noch was: Gedruckte iTAN-Listen werden allenthalben als "unsicher" bezeichnet. Das ist Quatsch, solange man die Liste nicht in den Computer eingibt. Und wer macht das schon? Unsicher ist es mit einem Gerät online-Banking zu machen und mit dem selben Gerät die TAN zu erzeugen. Auch wenn unsere Jugend das Smartphone über alles liebt.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.