0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Online-Banking: Hohes Risiko bei mobilen Transaktionen, Erlangener Forscher hacken Sparkassen App (S-push TAN App)

Online Banking ist aus dem modernen Zahlungsverkehr kaum noch wegzudenken. Seit dem Siegeszug von Tablet PC und Smartphone möchten vermehrt Bankkunden allerdings auch mit dem „kleinen Computer“ Online Banking betreiben, den sogenannten Android-Systemen (Smartphone, Tablett PC, Mobiltelefone mit Internetzugang etc.). Doch dabei sollte der Bankkunde Wert auf ein sicheres Online Banking legen. Aus der aktuellen Fachpresse lässt sich entnehmen, dass es Forschern an der Friedrich-Alexander-Universität Erlangen-Nürnberg gelungen ist, die S-pushTAN App der Sparkasse für das mobile TAN – Verfahren zu täuschen. Der Deutsche Sparkassen- und Giroverband hält dies für übertrieben. Zu den Hintergründen berichtet ilex Rechtsanwälte.

Übersicht:


Wie ist die Funktionsweise der neuen S-pushTAN App?

Praktisch, schnell und „to go“. Bankgeschäfte auch unterwegs zu erledigen ist für immer mehr Bankkunden schon jetzt eine gute Alternative zum althergebrachten Gang zur Bank. Um Online Banking mit dem Smartphone noch attraktiver zu machen, entwickeln Hersteller zunehmend Apps, die TANs erzeugen. Das Ziel ist hierbei stets mehr Komfort für den Bankkunden zu gewährleisten. Während traditionell zwei Geräte erforderlich sind, eines zur Durchführung der Transaktion und eines zum Erhalt der Bestätigungs-TAN, bieten immer mehr Banken nun sogenannte App-basierte TAN-Verfahren an. Hierbei nutzt der Anwender zwei Apps auf ein und demselben Smartphone. Während mit einer Online-Banking-App die Überweisung getätigt wird, erfolgt mit der zweiten App die verschlüsselte Kommunikation mit der Bank zur Anforderung der TAN. Im Grundsatz handelt es sich also um dasselbe System wie beim mobilen TAN Verfahren. Neben dem erhöhten Komfort für den Kunden bietet dieses Verfahren laut den Werbeangaben der Hersteller auch mehr Sicherheit, da es weniger Angriffsfläche für potentielle Betrüger gebe, als bei der herkömmlichen Versendung einer die mobile TAN enthaltenen SMS.

Was gelang den Erlangener Forschern?

Nun ist es Zeitungsberichten zufolge Forschern gelungen, eine mittels der Sparkassen App durchgeführte Transaktion zu manipulieren. Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz an der Friedrich-Alexander-Universität Erlangen-Nürnberg zeigten in ihrem Versuch die Sicherheitsmängel auf. Es gelang ihnen, eine Transaktionssumme von 0,10 EUR auf 13,17 EUR zu erhöhen und auch den Empfänger der Überweisung zu verändern. Für den Nutzer der App wäre dies nicht zu erkennen gewesen. Zwar sei der Angriff aufgrund der Schutzmechanismen der beiden Apps technisch anspruchsvoll gewesen. Jedoch mache „der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung das Verfahren für Schadsoftware zu einer leichten Beute“, so die beiden Forscher. Weiter mahnen sie an, dass sich die Sicherheitsprobleme nicht durch eine verbesserte Programmierung lösen lassen, sondern in der Struktur des Verfahrens begründet seien. Der entscheidende Nachteil der App-TANs ist nämlich, dass sich der gesamte Transaktionsvorgang auf einem einzigen Gerät abspielt. Eine Erleichterung für die Betrüger, denn während der Angreifer beim herkömmlichen Verfahren per ChipTAN oder mobilen TAN zwei unabhängige Geräte unter seine Kontrolle bringen muss, genügt es bei der App-Manipulation, nur in das Smartphone eine Schadsoftware einzuschleusen.

Was sagt der Deutsche Sparkassen- und Giroverband dazu?

Nach Aussagen des Deutschen Sparkassen- und Giroverbandes betreffen die vorgeführten Angriffe auf das Online-Banking nur veraltete Versionen der S-pushTAN App. Sie hält es daher für unwahrscheinlich, dass tatsächlich Schadensfälle eintreten werden.

Was meint ilex Rechtsanwälte?

Die beiden Erlanger Forscher haben auf eine grundlegende Schwäche der S-pushTAN App hingewiesen, die in erster Linie darin besteht, dass es sich um ein Ein-Wege-Tan-Verfahren handelt, bei der auf dem gleichen Gerät eine Zahlungsanweisung beauftragt und später per TAN autorisiert wird und auch zuvor eine TAN generiert wird. Dies ermöglicht Tätern schon grundsätzlich alle möglichen Missbrauchsvarianten und es dürfte vermutlich nur eine Frage der Zeit sein, bis sie auch die neueren Versionen des S-pushTAN App Verfahrens ausgehebelt haben. Dazu kommt, dass viele Android-Systeme dem Sicherheitsstandards von herkömmlichen PCs nach wie vor hinterherhinken.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com