Sie sind hier: Home > Digital > Internet & Sicherheit >

Deutsche Forscher warnen vor photoTAN-Verfahren

...
t-online.de ist ein Angebot der Ströer Content Group

Mobile Banking  

Forscher knacken photoTAN-Verfahren auf Android-Smartphones

18.10.2016, 14:54 Uhr | dpa

Deutsche Forscher warnen vor photoTAN-Verfahren. IT-Sicherheitsforscher führen eine manipulierte Überweisung auf einem Android-Smartphone vor. (Quelle: dpa/Friedrich-Alexander-Universität Erlangen-Nürnberg)

IT-Sicherheitsforscher führen eine manipulierte Überweisung auf einem Android-Smartphone vor. (Quelle: Friedrich-Alexander-Universität Erlangen-Nürnberg/dpa)

Das photoTAN-Verfahren der Commerzbank, Deutschen Bank und Norisbank ist von Wissenschaftlern geknackt worden. Mit dieser Methode werden normalerweise Überweisungen gesichert, die per Smartphone vorgenommen werden.

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der "Süddeutschen Zeitung" gelungen, auf manipulierten Android-Smartphones das beim Mobile-Banking eingesetzte Verfahren photoTAN zu knacken.

Transaktionen auf dem Smartphone manipulieren

Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Geräten installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf einem Gerät installiert sind.

"Kein Problem, die Überweisung zu verstecken"

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller die Geldinstitute Deutsche Bank, Norisbank und Commerzbank ins Visier genommen werden. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt.

Zwei-Wege-Authentifizierung ausgehebelt 

Mit der photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die photoTAN-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Mit Viren infizierte App muss installiert sein

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert sein muss. "Das macht den Angriff schwieriger, aber nicht unmöglich", sagt Haupert. Darauf deute Schadsoftware wie "Godless" und "Hummingbad" hin. Diese schaffte es in den offiziellen App-Store von Google und hätte auf 90 Prozent aller Android-Smartphones funktioniert. Von "Hummingbad" sind laut dem Sicherheitsunternehmen "Checkpoint" 85 Millionen Geräte betroffen gewesen.

Angriffe auch bei iOS denkbar

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch beim iPhone-System iOS denkbar. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, sodass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware herunterzuladen.

So reagieren die Banken

Auf Nachfrage weisen Pressesprecher von Deutscher Bank und Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Anzeige

Shopping
Shopping
Gartengeräte: Tolle Helfer für den grünen Daumen
OTTO.de.
Shopping
Fresh Spirit – nur für kurze Zeit versandkostenfrei bestellen
bei BONITA
Shopping
iPhone 7 für 1,- €* im Tarif MagentaMobil L mit Handy
bei der Telekom

Anzeige
shopping-portal
© Ströer Digital Publishing GmbH 2017