Sicherheit beim Onlinebanking: Eine bedenkliche Abwärtsspirale

Der Sicherheitsforscher Vincent Haupert hat schon in mehreren Bank-Apps Schwachstellen aufgedeckt - zuletzt beim Berliner Start-up N26. Hier erklärt er, warum ihm ein Trend beim Onlinebanking Sorgen macht.

Auf dem Hackerkongress 33C3 in Hamburg hat Vincent Haupert am Dienstagnachmittag vorgestellt , welche Lücken er im Sicherheitssystem des Berliner Finanz-Start-ups N26 entdeckt hat. In diesem Gastbeitrag schreibt er über die Entwicklungen der letzten Jahre im Onlinebanking - und stellt in einer Fotostrecke die von ihm entdeckten Schwächen des N26-Systems vor.

N26 selbst hatte vor gut zwei Wochen in einer Stellungnahme betont, dass alle gemeldeten Sicherheitslücken geschlossen und dass keine Kundendaten kompromittiert worden seien. Keinem Kunden sei ein Schaden entstanden.

Zum Autor

Foto: privat

Vincent Haupert (27) studierte Informatik an der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und ist dort aktuell Wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für IT-Sicherheitsinfrastrukturen. Dort beschäftigt sich Haupert vorwiegend mit der Sicherheit von mobilen Endgeräten, insbesondere von Authentifizierungssystemen im Onlinebanking. In diesem Bereich konnte er innerhalb der vergangenen anderthalb Jahre mehrere Schwachstellen in den appbasierten Verfahren namhafter deutscher Kreditinstitute aufzeigen. Für eigene Online-Transaktionen hat Haupert immer ein ChipTAN-Lesegerät dabei - und auch generell rät er dazu, solche Extra-Hardware fürs Online-Banking zu benutzen.

Für viele deutsche Haushalte gehört Onlinebanking zum Alltag. Obwohl es weiter Skeptiker gibt, die mit einem ausgefüllten Überweisungsträger zur Bank gehen, werden digitale Transaktionen von den meisten geschätzt. Die Sicherheit beim Onlinebanking hat eine bewegte Geschichte, doch sie profitierte von immer neuen Verfahren, die bei den Kunden Vertrauen geschaffen hat.

In der Bankszene gibt es in jüngster Zeit jedoch ein Umdenken, durch das diese Entwicklung umgekehrt werden könnte. Hierfür sind neben der Beliebtheit von Smartphones vor allem neue Finanz-Start-ups verantwortlich, sogenannte FinTechs wie N26, die die Mobilgeräte in den Mittelpunkt stellen.

Bereits bei der Einführung des Onlinebankings in den Achtzigerjahren wurde erkannt, dass eine Kombination aus Benutzername und Passwort nicht ausreicht, um die Finanzen vor dem unbefugten Zugriff Dritter zu schützen. Transaktionen müssen deshalb seit jeher mit einem zweiten Faktor, der allgemeinhin als TAN-Verfahren bekannt ist, freigegeben werden.

Nach den Listen folgte die SMS

Während man zunächst auf papiergestützte Verfahren wie die TAN-Liste und später die noch bis heute verwendete iTAN-Liste setzte, haben sich durch einen starken Anstieg von Phishing-Vorfällen neue Verfahren herauskristallisiert. Der große Nachteil von Papierlisten ist, dass eine TAN nicht dynamisch an eine bestimmte Transaktion gebunden ist: Ein Angreifer kann sie daher auch für eine von ihm bestimmte Überweisung verwenden, wenn es ihm gelingt, den Computer des Opfers mit Schadsoftware zu infizieren.

Unter dem Eindruck solcher Schadensfälle sind Verfahren entstanden, die die TAN an einen bestimmten Auftrag binden und zugleich die Verifikation der Transaktionsdaten ermöglichen. Das am weitesten verbreitete Verfahren dieser Gattung ist das mTAN-Verfahren. Hierbei wird dem Kunden nach Aufgabe der Transaktion eine SMS geschickt, die neben der TAN zur Bestätigung des Auftrags auch den Begünstigten und den Betrag des Transfers nennt.

Die Sicherheit des mTAN-Verfahrens steht nach einer Häufung von Schadensfällen mittlerweile in Verruf, obwohl es 2005 bei der Einführung noch durch hervorragende Sicherheit gekennzeichnet war. Dass das heute nicht mehr so ist, liegt weniger an der SMS-Technologie, als an der Evolution der mobilen Endgeräte.

Handys waren mal Spezialgeräte

Handys wurden vor zehn Jahren noch primär fürs Telefonieren sowie für SMS verwendet, sie waren Spezialgeräte. Heutzutage dominieren mit Smartphones Mehrzweckgeräte den Markt, bei denen die Telefoniefunktion angesichts etlicher Schnittstellen und einer schier endlosen Erweiterbarkeit durch Apps zur Nebensache geworden ist.

Diese Entwicklung von Spezial- hin zu Mehrzweckgeräten hat aber auch Tür und Tor für Schadsoftware geöffnet. Die Sicherheit des mTAN-Verfahrens wurde vor allem dadurch erodiert, dass bösartige Apps still die SMS der Bank empfangen und an den Angreifer weitergeleitet haben.

Schadsoftware gefährdet aber nicht nur das mTAN-Verfahren. Seit einiger Zeit existieren ähnliche, per App realisierte Verfahren, bei denen die TAN nicht via SMS, sondern über eine Internetverbindung verschickt wird.

Mit einer Doktrin gebrochen

Mit der Doktrin, die Transaktionsauslösung und -bestätigung niemals auf dem gleichen Gerät durchzuführen, wurde erst jüngst, im Zuge des Aufkommens des sogenannten Mobile-Bankings gebrochen. Beim Mobile-Banking sind Transaktionen auf ein und demselben Smartphone entweder durch zwei getrennte Apps zur Transaktionsaufgabe und -bestätigung realisiert, oder gar in einer einzigen App integriert.

Populäre Verfahren, die zwei Apps auf demselben Gerät verwenden, sind beispielsweise das pushTAN-Verfahren der Sparkassen oder auch das photoTAN-Verfahren von Deutscher Bank und Commerzbank. Für beide Verfahren konnten wir im vergangenen beziehungsweise in diesem Jahr zeigen, dass sie Schadsoftware wenig entgegenzusetzen haben.

Ein bekanntes Beispiel für eine Bank, die die Funktionalität beider Apps in nur einer integriert, ist N26. Überhaupt setzt das hippe Finanz-Start-up aus Berlin mit seiner "Mobile First"-Strategie neue Impulse. N26 erklärt dabei ganz bewusst das Benutzererlebnis zur obersten Priorität: Alle Bankgeschäfte sollen möglichst einfach und schrankenlos auf dem Smartphone des Kunden möglich sein.

Beifall statt Unverständnis

Mit seinem Konzept stößt N26 auf großen Kundenzuspruch und alarmiert damit die alteingesessenen Banken, die ihrerseits mit "Mobile First"-Lösungen reagieren, was allgemein zu einer Abwärtsspirale konzeptionell wichtiger Sicherheitsvorkehrungen führt. So wirbt heute Yomo, ein N26-Klon der Sparkassen-Finanzgruppe, unter Beifall damit, dass Transaktionen TAN-los erfolgen. Früher wären solche Entschlüsse wohl noch auf Unverständnis gestoßen.

Abseits von konzeptionell fraglichen Designentscheidungen hat N26 in jüngster Vergangenheit auch technisch erhebliche Defizite gezeigt: Sie lassen zumindest Zweifel aufkommen, ob FinTechs der Sicherheit ihrer Systeme die Bedeutung beimessen, die ihr gebührt. Bei N26 war es uns aufgrund technischer Mängel unabhängig vom Gerät möglich, Überweisungen zu manipulieren und sogar komplette Konten zu übernehmen.

Man sollte aber nicht nur über einzelne Unternehmen diskutieren. Fraglich ist auch, welchen Stellenwert IT-Sicherheit bei der deutschen Bankenaufsichtsbehörde BaFin einnimmt. Sie hat N26 schließlich erst kürzlich eine eigene Bankenlizenz erteilt, obwohl die von uns aufgedeckten Sicherheitslücken seit geraumer Zeit im System von N26 klaffen dürften.

Der Gesetzgeber ist gefordert

Letztendlich ist daher der Gesetzgeber gefordert, klare Anforderungen an die technische und konzeptionelle Sicherheit von Onlinezahlungen zu formulieren. Genauso muss er Strukturen schaffen, die die Konformität der Kreditinstitute regelmäßig und wirksam auf die Probe stellen. Obwohl hier bereits EU-weite Richtlinien existieren, war der Bereich des Mobile-Bankings bis vor Kurzem weitgehend unreguliert.

Zu Beginn des Jahres verabschiedete die EU immerhin die sogenannte Zweite Zahlungsdiensterichtlinie , die nach einer Übergangsphase von zwei Jahren in Kraft tritt und umfangreiche Anforderungen für den Einsatz von Smartphones formuliert. Diese Regulierungen dürften insbesondere für "Mobile First"-Lösungen wie N26 und Yomo eine Herausforderung werden.