Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

CCC-Congress: pushTAN-App der Sparkasse ist unsicher

...
t-online.de ist ein Angebot der Ströer Content Group

pushTAN-Verfahren  

Hacker knackt Onlinebanking-App

29.12.2015, 16:04 Uhr | Judith Horchert, Spiegel Online

CCC-Congress: pushTAN-App der Sparkasse ist unsicher. Das separate Chip-TAN-Gerät ist sicherer als die pushTAN auf dem Smartphone. (Quelle: dpa)

Das separate Chip-TAN-Gerät ist sicherer als die pushTAN auf dem Smartphone. (Quelle: dpa)

Neue Apps sollen das Onlinebanking bequemer machen, weil man die benötigte TAN einfach auf dem Handy generiert. Ein Forscher zeigt nun, wie leicht sich dieses System hacken lässt, und verrät, welche Verfahren sicherer sind.

Das sogenannte pushTAN-Verfahren verspricht für die Zukunft ein noch einfacheres Onlinebanking: Mithilfe von zwei Apps soll man alle Bankgeschäfte auf dem Handy erledigen können, inklusive Berechnung der Transaktionsnummer (TAN). Ein junger Hacker hat das Verfahren nun zum zweiten Mal überlisten können. Auf dem Hacker-Kongress des Chaos Computer Clubs zeigt er am Montag, wie leicht das System anzugreifen ist.

Erste Warnung bereits im Oktober

Bereits im Oktober hatten die Informatiker Vincent Haupert und Tilo Müller von der Uni Erlangen erklärt, wie sie die pushTAN-App der Sparkasse knacken konnten. Sie schafften es, eine Überweisung auf ein anderes Konto umzuleiten und auch den Betrag zu ändern - ohne dass ein potenzielles Opfer davon etwas mitbekommen hätte. (Hier die Forschungsergebnisse als PDF.)

UMFRAGE
Halten Sie die vierstellige PIN der EC-Karte beim Bezahlen oder Geld abheben für sicher?

Damals konterte die Sparkasse, der Angriff sei nur bei mittlerweile veralteten Versionen der App möglich, es gebe aber bereits neuere Versionen. Zum CCC-Congress hat sich Vincent Haupert deshalb nun mit der neuesten Version der App auseinandergesetzt: "Auch diesmal ist ein Angriff geglückt", sagt er. Das Problem ist allerdings wohl nicht die App der Sparkasse selbst, sie steht lediglich exemplarisch für das System an sich.

Alles auf einem Gerät zu erledigen, gilt als unsicher

Das sogenannte pushTAN-Verfahren soll es Nutzern ermöglichen, Bankgeschäfte auf dem Smartphone zu erledigen - mithilfe von zwei getrennten Apps: eine fürs Onlinebanking selbst und eine für das Generieren der TAN. Sonst wird nichts weiter gebraucht, kein TAN-Rechner, kein Zettel, keine SMS. Der Vorteil: Eine Überweisung ist blitzschnell getätigt, von überall aus. Den Nachteil erklärt Haupert: Weil alles auf einem Gerät stattfindet, ist das Verfahren nicht sicher. Denn wer Zugriff auf das Gerät hat, kann ebenfalls blitzschnell Überweisungen tätigen, von überall aus.

Entdeckung eher per Zufall

Es war Zufall, dass sich der 26-jährige Informatikstudent genauer mit dem Onlinebanking auseinandergesetzt hat. Für ein Auslandssemester wollte er nach Brasilien und informierte sich vorab über sichere Wege des Onlinebankings. Bislang hatte er seine TANs immer per SMS aufs Handy bekommen, nun suchte er nach Alternativen. Der Bankberater warb für eine neue App, mit der Haupert sich die benötigten Nummern gleich auf dem Handy generieren könne - schnell und unkompliziert. Haupert lehnte dankend ab und beschloss stattdessen, die angepriesene App zu hacken.

Mit den TANs war es schon immer so eine Sache. Wer online ein Bankgeschäft - etwa eine Überweisung - tätigen möchte, braucht eine solche Nummer für jede einzelne Transaktion. Seit Jahren setzen die Banken auf verschiedene Verfahren, um diese Nummern ihren Kunden zu übermitteln.

Viele Wege führen zur TAN - nicht jeder ist gut

Angefangen hat das mit einer TAN-Liste auf Papier. Die Bankkunden konnten sich pro Überweisung einfach eine Nummer vom Blatt aussuchen und sie eingeben. "Das gibt es heute nicht mehr, das war nämlich sehr anfällig für Phishing-Angriffe", sagt Haupert. Seitdem gebe es allenfalls noch indizierte TAN-Listen (iTAN), bei denen die Kunden pro Überweisung eine ganz bestimmte Nummer eingeben müssen, doch auch das sei angreifbar. Zum Beispiel hätten manche Kunden gefälschte E-Mails bekommen, in denen sie scheinbar von der Bank aufgefordert wurden, alle ihre TANs irgendwo einzugeben, "und das haben einige Leute auch gemacht", so Haupert. Das Verfahren sterbe ebenfalls aus.

Sicherer ist da laut Haupert das sogenannte mTAN-Verfahren, bei dem die Nummer per SMS aufs Handy geschickt wird - zusammen mit der Information, für welche Überweisung sie gilt. Allerdings hat es auch auf dieses System spektakuläre Angriffe gegeben: Im Oktober kam heraus, dass sich Betrügerbanden als Telekom-Mitarbeiter ausgegeben hatten. Auf diesem Weg konnten sie sich Ersatz-Sim-Karten für die Handys ihrer Kunden ausstellen lassen und die SMS mit den begehrten TANs abfangen. Die Täter schafften es, Zehntausende Euro abzubuchen, insgesamt entstand ein Schaden von mehr als einer Million Euro.

Mehrere TAN-Verfahren

Neben dem mTAN-Verfahren gibt es noch das QR-TAN-Verfahren oder das Photo-TAN-Verfahren, bei dem man mit dem Handy jeweils einen Code oder ein Bild abscannen muss. "Das ist eine ganz gute Variante, weil man auf jeden Fall zwei verschiedene Geräte dafür braucht, das Handy und noch einen weiteren Computer oder ein Tablet, von dem man dann abscannt", sagt Haupert.

Noch besser sei lediglich das ChipTAN- oder SmartTAN-Verfahren, bei dem der Kunde einen sogenannten TAN-Calculator, also eine Art kleinen Taschenrechner benutzt. In diesen wird die EC-Karte eingeschoben, erst dann wird die Nummer für die entsprechende Überweisung erstellt. Wer eine Überweisung von einem fremden Konto tätigen möchte, bräuchte also nicht nur die Zugangsdaten fürs Onlinebanking und einen solchen TAN-Rechner, sondern auch noch die Karte des Kunden. "Dieses Verfahren ist praktisch nicht zu knacken, das wäre schon ein sehr spezieller Angriff", sagt Haupert.

Kluge Kunden setzen auf zwei Faktoren

Viele Bankkunden fänden es allerdings lästig, dass sie noch ein zusätzliches Gerät, in diesem Fall einen kleinen Rechner, bräuchten. Um dem Wunsch nach Bequemlichkeit entgegenzukommen, böten verschiedene Banken jetzt Apps an, mit denen sich die TANs generieren lassen - gleich auf dem Handy, auf dem die Kunden mit einer anderen App ihre Bankgeschäfte tätigen. Und genau da liegt laut Haupert das Problem.

"Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen", sagt der Forscher, "denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Onlinebanking-Account haben oder Zugriff auf das Handy. Es könnte also böse ausgehen, wenn sie durch den Angriff eines Geräts gleich an alle wichtigen Daten kämen - wie beim Push-TAN-Verfahren, bei dem Kriminelle nur das Handy übernehmen müssen.

Sicherheit über zwei Geräte

Doch auch dieses Verfahren lässt sich sicherer gestalten, sagt Haupert: "Wenn man die beiden Apps auf verschiedenen Geräten installiert hat und jeweils nur dort nutzt - also beispielsweise die Onlinebanking-App immer nur auf dem Notebook und die pushTAN-App immer nur auf dem Tablet - dann wird es wieder zu einem echten Zwei-Faktor-Verfahren, bei dem Angreifer zwei Geräte übernehmen müssen."

Der Vortrag "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking" ist ab 16.45 Uhr im Livestream des Chaos Computer Clubs zu sehen. 

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Ab 6 Uhr können Sie hier wieder wie gewohnt diskutieren. Wir danken für Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages
Ähnliche Themen im Web

Shopping
Shopping
MagentaZuhause für 19,95 € mtl. im 1. Jahr bestellen
zur Telekom
Shopping
Weiße Westen für Jederman: Bauknecht Haushaltsgeräte
OTTO.de
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Prepaid-Aufladung
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • MagentaCLOUD
  • Homepages & Shops
  • De-Mail
  • Freemail
  • Mail & Cloud M
  • Sicherheitspaket
  • Hotspot
  • Hilfe
© Ströer Digital Publishing GmbH 2017