Probleme bei 31 Banking-Apps So schützen Sie sich vor der Sicherheitslücke

IT-Experten haben eine weit verbreitete Lücke in Banking-Apps entdeckt. Hacker könnten sie nutzen, um Überweisungen auf eigene Konten umzuleiten. Um sich zu schützen, sollten Nutzer vor allem eines beachten.
Banking am Smartphone

Banking am Smartphone

Foto: Lino Mirgeler/ dpa

Auf dem Smartphone wird der Empfänger richtig angezeigt, die IBAN stimmt. Nun muss der Nutzer die Überweisung nur noch bestätigen, dann sollte das Geld auf dem gewünschten Konto landen. Doch Wissenschaftlern der Friedrich-Alexander-Universität Erlangen ist es gelungen, das Geld heimlich auf ein anderes Konto umzuleiten. Der Nutzer merkt davon nichts. Einem Bericht der "Süddeutschen Zeitung"  zufolge weisen mehr als 30 Banking-Apps diese Sicherheitslücke auf.

Zu den betroffenen Anwendungen zählen dem Bericht zufolge unter anderem die Banking-Apps der Commerzbank, der Comdirect, der Fidor Bank und der Stadtsparkassen. Damit kriminelle Hacker die Sicherheitslücke ausnutzen könnten, müssten die Bank-Apps parallel zu einer App auf demselben Smartphone laufen, die Transaktionsnummern (TAN) generiert. Nur dann könnten Angreifer die TAN abgreifen und gleichzeitig die Überweisung manipulieren, heißt es. Wer für Banking und TAN-Verfahren zwei Geräte nutzt, ist demnach zumindest vor dieser Lücke sicher.

IT-Experte Vincent Haupert will Ende des Jahres auf der Hackerkonferenz des Chaos Computer Clubs zeigen, wie der Angriff funktioniert. Die Schwachstelle liegt seinen Angaben zufolge in der Software der Firma Promon, die viele Banken verwenden. Das Tool ist in viele Banking- Apps integriert und soll die Anwendungen gegen Schadsoftware und Manipulationen von außen abschotten. Doch das funktioniert offenbar nicht wirklich zuverlässig. "Die Banken haben sich mit Smartphone-Apps auf eine Plattform begeben, die sie nicht kontrollieren können", sagt Haupert im Gespräch mit dem SPIEGEL.

Updates sind bereits geplant

Grundsätzlich habe Haupert nichts gegen Banking-Apps. "Problematisch wird es erst, wenn man TAN-Apps parallel auf dem Smartphone benutzt." Dann hilft auch die Sicherheitssoftware nicht mehr. "Promon kann Banking-Apps nicht wie versprochen schützen." Und auch wenn der Dienstleister angekündigt hat, den Fehler in den kommenden Wochen zu beheben, bleibe ein Risiko. "Solche Maßnahmen sind immer technisch umgehbar."

Der Verband Deutsche Kreditwirtschaft hat inzwischen gemeldet, die potenzielle Sicherheitslücke zu aktualisieren. "Eine Reihe von Banking-Apps wird bereits in den nächsten Tagen in neuen Versionen bereitgestellt", heißt es vonseiten des Verbandes. Bisher seien noch keine Angriffe oder Schadensfälle in der Praxis bekannt geworden.

Auch die Elster-App ist anfällig für Manipulationen

Neben den Banking-Anwendungen ist offenbar auch die Elster-App des Bayerischen Landesamts für Steuern betroffen, die ebenfalls von Promon geschützt wird. Haupert zufolge sei es technisch möglich, das Software-Zertifikat zu kopieren. Dieses Zertifikat wird etwa dafür benötigt, um die elektronische Steuererklärung abzuschicken oder einzusehen.

Die Sicherheitslücke ermöglicht theoretisch einen automatisierten Angriff aus der Ferne. Sprich: Wenn es kriminellen Hackern gelingt, etwa über eine manipulierte App einen Schadcode auf Smartphones einzuschleusen, könnten Banking-Apps automatisiert dazu gezwungen werden, Überweisungen auf das Konto der Angreifer zu umzulenken. Kritisch sei das hauptsächlich auf Android-Geräten, sagt Haupert. "Vor allem im Android-Bereich gibt es ein großes Problem mit der Update-Politik."

Allerdings sei der Angriff sehr kompliziert, sagt Haupert. Auch für versierte Hacker sei es kaum möglich, die Attacke in kurzer Zeit nachzuahmen. Der IT-Experte rät: "Man sollte vorsichtig sein, was man sich aufs Handy lädt." Außerdem sollte man nicht Banking-App und TAN-App gleichzeitig auf dem Smartphone installieren. Besser sei es, sich die TAN auf Smartphone oder Tablet schicken zu lassen und die Überweisung am PC zu machen. Oder man setzt auf ein alternatives TAN-Verfahren wie ChipTAN, das mithilfe eines Kartenlesers ein Kennwort erzeugt.

Mit Material von dpa
Die Wiedergabe wurde unterbrochen.