Online-Banking: Mobile Transaktionen mit hohen Risiken

Mehr zum Thema:

Bankrecht Rubrik, Online-Banking, Phishing, App, TAN, Sicherheit

5 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
9

Forscher knacken Sparkassen-App

Aus dem modernen Zahlungsverkehr ist das Online-Banking kaum noch wegzudenken. Tablet PC und Smartphone haben einen Siegeszug angetreten und nunmehr möchten auch Bankkunden vermehrt mit den „kleinen Computern“ Online Banking betreiben. Doch dabei sollte der Bankkunde Wert auf ein sicheres Online Banking legen. Aus aktuellen Medienberichten geht hervor, dass es Forschern an der Friedrich-Alexander-Universität Erlangen-Nürnberg gelungen ist, die erst kürzlich herausgegebene App der Sparkasse für das mobile TAN – Verfahren zu täuschen. Hierüber berichtet ilex Rechtsanwälte.

Wie funktionieren die neuen App-TANs?

Praktisch, schnell und „to go“. Bankgeschäfte auch unterwegs zu erledigen ist für immer mehr Bankkunden schon jetzt eine gute Alternative zum althergebrachten Gang zur Bank. Um Online Banking mit dem Smartphone noch attraktiver zu machen, entwickeln Hersteller zunehmend Apps, die TANs erzeugen. Das Ziel ist hierbei stets mehr Komfort für den Bankkunden zu gewährleisten. Während traditionell zwei Geräte erforderlich sind, eines zur Durchführung der Transaktion und eines zum Erhalt der Bestätigungs-TAN, bieten immer mehr Banken nun so genannte App-basierte TAN-Verfahren an. Der Anwender nutzt hierbei zwei Apps auf ein und demselben Smartphone. Während mit einer Online-Banking-App die Überweisung getätigt wird, erfolgt mit der zweiten App die verschlüsselte Kommunikation mit der Bank zur Anforderung der TAN. Grundsätzlich ist es also dasselbe System wie das mobile TAN Verfahren. Neben dem erhöhten Komfort für den Kunden bietet dieses Verfahren laut den Werbeangaben der Hersteller auch mehr Sicherheit, da es weniger Angriffsfläche für potentielle Betrüger gebe, als bei der herkömmlichen Versendung einer die mobile TAN enthaltenen SMS.

Ulrich Schulte am Hülse
seit 2010 bei
123recht.net
Rechtsanwalt
Fachanwalt für Bank- und Kapitalmarktrecht
14469 Potsdam
Datenschutzrecht, Kapitalmarktrecht, Kapitalanlagenrecht, Wirtschaftsrecht

Der Versuch der Erlangener Forscher

Zeitungsberichten zufolge ist es Forschern gelungen, eine mittels der Sparkassen App durchgeführte Transaktion zu manipulieren. Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz an der Friedrich-Alexander-Universität Erlangen-Nürnberg zeigten in ihrem Versuch die Sicherheitsrisiken auf. Es gelang ihnen, eine Transaktionssumme von 0,10 EUR auf 13,17 EUR zu erhöhen und auch den Empfänger der Überweisung zu verändern. Dem Nutzer der App wäre dies verborgen geblieben. Zwar sei der Angriff aufgrund der Schutzmechanismen der beiden Apps technisch anspruchsvoll gewesen. Jedoch mache „der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung das Verfahren für Schadsoftware zu einer leichten Beute“, so die beiden Forscher. Weiter mahnen sie an, dass die Sicherheitsprobleme in der Struktur des Verfahrens begründet seien und sich daher nicht durch eine verbesserte Programmierung lösen lassen. Der entscheidende Nachteil der App-TANs ist nämlich, dass sich der gesamte Transaktionsvorgang auf einem einzigen Gerät abspielt. Eine Erleichterung für die Betrüger, denn es genügt, nur in das Smartphone eine Schadsoftware einzuschleusen, während der Angreifer beim herkömmlichen Verfahren per ChipTAN oder mobilen TAN zwei unabhängige Geräte unter seine Kontrolle bringen muss.

Nach Aussage der Sparkasse betreffen die vorgeführten Angriffe auf das Online-Banking nur veraltete Versionen der S-pushTAN-App. Sie hält es daher für unwahrscheinlich, dass tatsächlich Schadensfälle eintreten werden.

Dies ändert jedoch nichts an der grundlegenden Schwäche, auf welche die beiden Forscher aufmerksam gemacht haben – nämlich die Nutzung nur eines Gerätes. Es bleibt die Frage: Wird die Sicherheit beim Online-Banking zugunsten der Bequemlichkeit vernachlässigt?

Stellungnahme der ilex Rechtsanwälte

Die beiden Erlanger Forscher haben auf eine grundlegende Schwäche der S-pushTAN App hingewiesen, die in erster Linie darin besteht, dass es sich um ein Ein-Wege-Tan-Verfahren handelt, bei der auf dem gleichen Gerät eine Zahlungsanweisung beauftragt und später per TAN autorisiert wird und auch zuvor eine TAN generiert wird. Dies ermöglicht Tätern schon grundsätzlich alle möglichen Missbrauchsvarianten und es dürfte vermutlich nur eine Frage der Zeit sein, bis sie auch die neueren Versionen des S-pushTAN App Verfahrens ausgehebelt haben. Dazu kommt, dass viele Android-Systeme den Sicherheitsstandards von herkömmlichen PCs nach wie vor hinterherhinken.

Dr. Ulrich Schulte am Hülse,
Rechtsanwalt und Fachanwalt
für Bank- und Kapitalmarktrecht,

ilex Rechtsanwälte,

Voltaireweg 4, 14469 Potsdam,
Tel. 0049 (0) 331 - 97 93 75 0,
Fax. 0049 (0) 331 - 97 93 75 20,
Mail: schulte@ilex-recht.de,
Internet: www.ilex-recht.de
Das könnte Sie auch interessieren
Bankrecht Mobile TAN Verfahren der Deutschen Postbank AG geknackt
Bankrecht Wie Phishing funktioniert und sich die Rechtslage gestaltet