Onlinebanking per Smartphone: TAN-App der Sparkasse unsicher

Onlinebanking-Kunden der Sparkasse sollten ein externes, unabhängiges TAN-Verfahren verwenden
Onlinebanking-Kunden der Sparkasse sollten ein externes, unabhängiges TAN-Verfahren verwenden
© dpa, Arno Burgi

29. Oktober 2015 - 14:20 Uhr

Onlinebanking auf dem Smartphone: Forscher knacken TAN-App der Sparkasse

Verfahren wie 'mTAN' und 'ChipTAN' sollen absolute Sicherheit beim Onlinebanking gewähren. Banken reagieren jedoch vermehrt auf die Bequemlichkeit der Nutzer: Sie verzichten auf die Zweifaktor-Authentifizierung und ermöglichen das Erledigen von Geldangelegenheiten und TAN-Abruf auf einem Gerät. So bietet die Sparkasse ihren Kunden Apps an, mit denen TANs abgerufen und in der anderen App eingefügt werden können, völlig automatisch. Dass dieses Verfahren auf Kosten der Sicherheit geht, können Kunden kaum ahnen. Zwei Forschern der Uni Erlangen ist es jetzt gelungen, die App-Kombination 'Sparkasse +' und 'S-push-TAN' zu hacken.

Normalerweise zeichnet sich die Sicherheit von Onlinebanking dadurch aus, dass zwei verschiedene Geräte notwendig sind. Beispielsweise der Computer, auf dem die Website des Onlinebanking mit Code besucht wird, und ein Gerät oder Handy, mit dem sogenannte TAN-Nummern generiert werden. Mit dieser 'Zweifaktor-Authentifizierung' wird gewährleistet, dass Hacker und Betrüger nicht an beide Datensätze gelangen können. Mit sogenannten TAN-Apps verabschiedet sich diese Sicherheit: Kontoinformationen und die notwendige TAN-Authentifizierung befinden sich auf einem Gerät. Kriminelle müssen so nur noch auf einem Gerät einen Trojaner einschleusen, um Überweisungen zu verändern und umzuleiten.

Der Angriff bleibt unbemerkt

Die ernüchternde Bestätigung dieser Theorie lieferten jüngst die beiden Forscher Tilo Müller und Vincent Haupert der Forschungsgruppe Systemsicherheit und Softwareschutz. Sie demonstrierten wie einfach es ist, die Sparkassen-App so zu manipulieren, dass in Auftrag gegebene Überweisungen abgeändert und mit einem höheren Betrag auf ein anderes Konto geleitet werden. Dem Verbraucher bleibt dieser Vorgang verborgen: der gesamte Prozess zeigt trügerischer Weise die ursprünglichen Daten an.

Gegenüber 'Heise Security' sagten die beiden Forscher, sie hätten zwei bis drei Wochen für das Knacken der App benötigt. Sie glaubten zudem, dass professionelle Online-Banking-Betrüger das auch schaffen würden. Um der Gefahr aus dem Weg zu gehen, empfiehlt sich der Verzicht auf App-basierte TAN-Verfahren. Wer auf einen zweiten Authentifizierungsfaktor setzt, der sich auf einem anderen Gerät befindet, ist weiterhin auf der sicheren Seite.