Die pushTAN kann man bequem per Klick in die Online-Banking-App übertragen. (Bild: Forschungsgruppe Systemsicherheit und Softwareschutz )

Mit Apps, die TANs erzeugen, wollen Banken das Online-Banking auf dem Smartphone attraktiver machen. Doch zwei Forscher der Uni Erlangen kritisieren die Abkehr unter anderem der Sparkassen vom bewährten Konzept der starken Zweifaktor-Authentifizerung zum Online Banking. Sie untermauern diese Kritik mit einem konkret demonstrierten Angriff auf die App-Kombination Sparkasse und S-pushTAN. Der leitet eine Überweisung auf ein anderes Konto um und ändert dabei auch gleich den Betrag. Ähnliche Angriffe seien ziemlich sicher auch gegen App-basierte TAN-Verfahren anderer Banken möglich, warnen die Forscher.

Sicherheit der mTAN in Verruf

Online-Banking setzt traditionell auf die Bestätigung von Transaktionen durch TANs, die eine zweite, von der PIN unabhängige Bestätigung darstellen, dass dabei alles mit rechten Dingen zugeht. Insbesondere aktuelle Verfahren wie die mTAN und die ChipTAN setzen dabei auf vom PC unabhängige Geräte. Damit genügt es nicht mehr, dass Angreifer etwa den PC der Nutzer mit einem Online-Banking-Trojaner infizieren, um Geld abzuziehen. Doch die Sicherheit der mTAN gerät immer mehr in Verruf, weil es für Betrüger zu einfach ist, an Zweit-SIM-Karten zu kommen, über die man die SMS mit der mTAN abfangen kann. Und beim sicheren ChipTAN-Verfahren beklagen Anwender die mangelnde Flexibilität, weil sie immer den zusätzlichen TAN-Generator benötigen.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

(Quelle: Vincent Haupert und Tilo Müller, Forschungsgruppe Systemsicherheit und Softwareschutz)

Deshalb bieten immer mehr Banken App-basierte TAN-Verfahren an, die mehr Komfort bieten sollen – aber das letztlich auf Kosten der Sicherheit. Dabei nutzt der Anwender eine Online-Banking-App auf seinem Smartphone; eine zweite App auf demselben Gerät fordert über verschlüsselte Kommunikation mit der Bank eine TAN an, die es anschließend anzeigt; ein Klick befördert sie komfortabel in die Banking-App, wo der Anwender den Vorgang abschließen kann. Somit funktioniert das Verfahren ähnlich wie die mTAN und hat dergegenüber den Vorteil, dass die Kommunikation mit der Bank kryptographisch gesichert erfolgt und somit nur schwer angreifbar ist.

Mehr Infos Sicheres Online-Banking mit c't Bankix: c't Bankix ist ein von Ubuntu abgeleitetes Linux-Betriebssystem, das speziell für sicheres Online-Banking konzipiert ist. Sicheres Online-Banking mit Bankix

c't Bankix kostenlos herunterladen



Nachteil der App-TANs

Der entscheidende Nachteil dieser komfortablen App-TANs: Der komplette Vorgang einer Online-Banking-Transaktion findet auf einem einzigen Gerät statt. Somit genügt es auch, in dieses eine Gerät einen Trojaner einzuschleusen, um betrügerische Transaktionen durchzuführen. Dass diese Gefahr keineswegs nur theoretisch ist, belegen Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz mit einer Demonstration.

Bild 1 von 9 Unsichere App-TAN (9 Bilder) Der Nutzer meldet sich im Online-Banking an und …

(Bild: Vincent Haupert und Tilo Müller, Forschungsgruppe Systemsicherheit und Softwareschutz)

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da "die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen".

Konzeptionelle Schwäche

Solche Angriffe sind nicht trivial. Man benötigt unter anderem einen speziellen Root-Exploit gegen die auf dem Smartphone eingesetzte Android-Version. Außerdem muss man die Apps analysieren und ihre Funktionsweise verstehen. Zwei bis drei Wochen benötigten die Forscher für diese Analysen. Doch "professionelle Online-Banking-Betrüger könnten das durchaus auch schaffen", erklärten Haupert und Müller gegenüber heise Security.

Die Forscher sehen den erfolgreich demonstrierten Angriff als Nachweis einer konzeptionellen Schwäche aller App-basierten TAN-Verfahren, die nicht auf getrennte Hardware setzen. Für sicheres Online-Banking empfehlen sie deshalb dringend, einen zweiten, unabhängigen Authentifizierungsfaktor einzusetzen, wie ihn ChipTAN-Verfahren bieten. (ju)