Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

pushTAN-Verfahren: Hacker knackt Onlinebanking-App  

Von

pushTAN-App der Sparkasse: Exemplarisch für das System Zur Großansicht
Vincent Haupert

pushTAN-App der Sparkasse: Exemplarisch für das System

Neue Apps sollen das Onlinebanking bequemer machen, weil man die benötigte TAN einfach auf dem Handy generiert. Ein Forscher zeigt nun, wie leicht sich dieses System hacken lässt, und verrät, welche Verfahren sicherer sind.

Das sogenannte pushTAN-Verfahren verspricht für die Zukunft ein noch einfacheres Onlinebanking: Mithilfe von zwei Apps soll man alle Bankgeschäfte auf dem Handy erledigen können, inklusive Berechnung der Transaktionsnummer (TAN). Ein junger Hacker hat das Verfahren nun zum zweiten Mal überlisten können. Auf dem Hacker-Kongress des Chaos Computer Clubs zeigt er am Montag, wie leicht das System anzugreifen ist.

Bereits im Oktober hatten die Informatiker Vincent Haupert und Tilo Müller von der Uni Erlangen erklärt, wie sie die pushTAN-App der Sparkasse knacken konnten. Sie schafften es, eine Überweisung auf ein anderes Konto umzuleiten und auch den Betrag zu ändern - ohne dass ein potenzielles Opfer davon etwas mitbekommen hätte. (Hier die Forschungsergebnisse als PDF.)

Damals konterte die Sparkasse, der Angriff sei nur bei mittlerweile veralteten Versionen der App möglich, es gebe aber bereits neuere Versionen. Zum CCC-Congress hat sich Vincent Haupert deshalb nun mit der neuesten Version der App auseinandergesetzt: "Auch diesmal ist ein Angriff geglückt", sagt er. Das Problem ist allerdings wohl nicht die App der Sparkasse selbst, sie steht lediglich exemplarisch für das System an sich.

Alles auf einem Gerät zu erledigen, gilt als unsicher

Das sogenannte pushTAN-Verfahren soll es Nutzern ermöglichen, Bankgeschäfte auf dem Smartphone zu erledigen - mithilfe von zwei getrennten Apps: eine fürs Onlinebanking selbst und eine für das Generieren der TAN. Sonst wird nichts weiter gebraucht, kein TAN-Rechner, kein Zettel, keine SMS. Der Vorteil: Eine Überweisung ist blitzschnell getätigt, von überall aus. Den Nachteil erklärt Haupert: Weil alles auf einem Gerät stattfindet, ist das Verfahren nicht sicher. Denn wer Zugriff auf das Gerät hat, kann ebenfalls blitzschnell Überweisungen tätigen, von überall aus.

Es war Zufall, dass sich der 26-jährige Informatikstudent genauer mit dem Onlinebanking auseinandergesetzt hat. Für ein Auslandssemester wollte er nach Brasilien und informierte sich vorab über sichere Wege des Onlinebankings. Bislang hatte er seine TANs immer per SMS aufs Handy bekommen, nun suchte er nach Alternativen. Der Bankberater warb für eine neue App, mit der Haupert sich die benötigten Nummern gleich auf dem Handy generieren könne - schnell und unkompliziert. Haupert lehnte dankend ab und beschloss stattdessen, die angepriesene App zu hacken.

IT-Experte Vincent Haupert: "Man sollte immer zwei getrennte Geräte benutzen" Zur Großansicht
Vincent Haupert

IT-Experte Vincent Haupert: "Man sollte immer zwei getrennte Geräte benutzen"

Mit den TANs war es schon immer so eine Sache. Wer online ein Bankgeschäft - etwa eine Überweisung - tätigen möchte, braucht eine solche Nummer für jede einzelne Transaktion. Seit Jahren setzen die Banken auf verschiedene Verfahren, um diese Nummern ihren Kunden zu übermitteln.

Viele Wege führen zur TAN - nicht jeder ist gut

Angefangen hat das mit einer TAN-Liste auf Papier. Die Bankkunden konnten sich pro Überweisung einfach eine Nummer vom Blatt aussuchen und sie eingeben. "Das gibt es heute nicht mehr, das war nämlich sehr anfällig für Phishing-Angriffe", sagt Haupert. Seitdem gebe es allenfalls noch indizierte TAN-Listen (iTAN), bei denen die Kunden pro Überweisung eine ganz bestimmte Nummer eingeben müssen, doch auch das sei angreifbar. Zum Beispiel hätten manche Kunden gefälschte E-Mails bekommen, in denen sie scheinbar von der Bank aufgefordert wurden, alle ihre TANs irgendwo einzugeben, "und das haben einige Leute auch gemacht", so Haupert. Das Verfahren sterbe ebenfalls aus.

Sicherer ist da laut Haupert das sogenannte mTAN-Verfahren, bei dem die Nummer per SMS aufs Handy geschickt wird - zusammen mit der Information, für welche Überweisung sie gilt. Allerdings hat es auch auf dieses System spektakuläre Angriffe gegeben: Im Oktober kam heraus, dass sich Betrügerbanden als Telekom-Mitarbeiter ausgegeben hatten. Auf diesem Weg konnten sie sich Ersatz-Sim-Karten für die Handys ihrer Kunden ausstellen lassen und die SMS mit den begehrten TANs abfangen. Die Täter schafften es, Zehntausende Euro abzubuchen, insgesamt entstand ein Schaden von mehr als einer Million Euro.

Neben dem mTAN-Verfahren gibt es noch das QR-TAN-Verfahren oder das Photo-TAN-Verfahren, bei dem man mit dem Handy jeweils einen Code oder ein Bild abscannen muss. "Das ist eine ganz gute Variante, weil man auf jeden Fall zwei verschiedene Geräte dafür braucht, das Handy und noch einen weiteren Computer oder ein Tablet, von dem man dann abscannt", sagt Haupert.

Noch besser sei lediglich das ChipTAN- oder SmartTAN-Verfahren, bei dem der Kunde einen sogenannten TAN-Calculator, also eine Art kleinen Taschenrechner benutzt. In diesen wird die EC-Karte eingeschoben, erst dann wird die Nummer für die entsprechende Überweisung erstellt. Wer eine Überweisung von einem fremden Konto tätigen möchte, bräuchte also nicht nur die Zugangsdaten fürs Onlinebanking und einen solchen TAN-Rechner, sondern auch noch die Karte des Kunden. "Dieses Verfahren ist praktisch nicht zu knacken, das wäre schon ein sehr spezieller Angriff", sagt Haupert.

Kluge Kunden setzen auf zwei Faktoren

Viele Bankkunden fänden es allerdings lästig, dass sie noch ein zusätzliches Gerät, in diesem Fall einen kleinen Rechner, bräuchten. Um dem Wunsch nach Bequemlichkeit entgegenzukommen, böten verschiedene Banken jetzt Apps an, mit denen sich die TANs generieren lassen - gleich auf dem Handy, auf dem die Kunden mit einer anderen App ihre Bankgeschäfte tätigen. Und genau da liegt laut Haupert das Problem.

"Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen", sagt der Forscher, "denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy. Es könnte also böse ausgehen, wenn sie durch den Angriff eines Geräts gleich an alle wichtigen Daten kämen - wie beim Push-TAN-Verfahren, bei dem Kriminelle nur das Handy übernehmen müssen.

Doch auch dieses Verfahren lässt sich sicherer gestalten, sagt Haupert: "Wenn man die beiden Apps auf verschiedenen Geräten installiert hat und jeweils nur dort nutzt - also beispielsweise die Onlinebanking-App immer nur auf dem Notebook und die pushTAN-App immer nur auf dem Tablet - dann wird es wieder zu einem echten Zwei-Faktor-Verfahren, bei dem Angreifer zwei Geräte übernehmen müssen."

Der Vortrag "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking" ist ab 16.45 Uhr im Livestream des Chaos Computer Clubs zu sehen.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 68 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Nur theoretisches Risiko
Armin2 28.12.2015
Das ist ja ein toller Trick: "Geben Sie mir bitte mal Zugriff auf Ihr Handy, dann kann ich Überweisungen ausführen, ohne dass Sie das merken." Wenn jemand so blöd ist, dass er sein Handy bzw. seine Zugangsdaten nicht ausreichend schützen kann, dann ist dieser Person durch keinen Schutz der Welt zu helfen. Two-Faktor-Auth? Wäre doch viel zu kompliziert. Wer auf Mails reagiert, die eine Übergabe der kompletten TAN-Liste fordern, gute Güte, was soll man da noch sagen außer: Schon mal über einen Vormund nachgedacht?
2. Gegen Dummheit ist kein Kraut gewachsen
purple 28.12.2015
Nachdem ein Handy ein grundsätzlich unsicheres Gerät ist, auf das es sogar von den Herstellern eingebaute Backdoors gibt - für Wartung etc.... kann man auf dem Handy kein sicheres Banking machen mit keinem denkbaren Verfahren und eigentlich gehören die Leute gestraft die es trotzdem machen sowohl auf Anbieter als auch auf Anwenderseite. Es gibt nur ein sicheres Verfahren HBCI -Chipcard mit eigener zertifizierter Pintastatur und eigentlich ist auch das I-Tan verfahren sicher - falls der Benutzer nicht so blöd ist und seine Tanliste am PC einscannt... Leider gibt es HBCI Chipcard nur bei wenigen Banken und da auch nur auf Anfrage - ich benutze es seit Jahren
3. Das geduldige Papier
black-mamba 28.12.2015
Wenn däd Tanlisten-Verfahren tatsächlich nur dadurch "geknackt" werden kann, dass der Nutzer aktiv seine Tans wo eingibt, wo er vorher ausdrücklich davor gewarnt wurde, dass es keinen Grund gibt (außer vielleicht seiner Einfältigkeit) die Tan anderswo einzugeben als auf der selbst gestarteten Online-Banking-Site, dann scheint mir däd papierbasierte Listenverfahren doch als das sicherste. Muss es wurkluch immer "schneller" "höher" "weiter" "hipper" sein, kann man nicht einfach mal däd Bewährte bestehen lassen? Also unter Fortschritt verstehe ich etwas anderes als "hauptsache neuer"
4.
vitalik 28.12.2015
Bei jedem Beratungsgespräch, in jedem Brief und in jeder Email wird immer darauf hingewiesen, dass die Bank den Kunden nie nach Passwort und TAN fragen wird und trotzdem gibt es diese Leute, die munter darauf los die Nummern eintippen.
5. two factor authentication
nahdran 28.12.2015
"Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Zwei-Faktor-Authentifikation in seinen IT-Grundschutz-Katalogen." siehe wikipedia. Das Thema ist nicht neu. Warum also bieten Banken Ihren meist ahnungslosen Kunden überhaupt ein Verfahren an, der dieses Paradigma aushebelt?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: