TAN-Apps gefährden Online-Banking

Online-Banking ist für viele Nutzer nicht mehr aus dem Alltag wegzudenken. Die Dienste erlauben mit nur wenigen Klicks, Überweisungen zu tätigen oder den Kontostand zu prüfen. Dank neuer Smartphone-Apps zur TAN-Generierung soll Online-Banking nun auch unterwegs noch komfortabler möglich sein. Hierbei bleibt allerdings die Sicherheit auf der Strecke, wie die Sicherheitsforscher Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität Erlangen-Nürnberg nachgewiesen haben.

Denn während die bisherige Entwicklung neuer TAN-Verfahren jeweils Schritte zum besseren Schutz gegen Täuschungs- und Manipulationsversuche waren, bedeutet das neue Verfahren über TAN-Apps einen deutlichen Sicherheits-Rückschritt.

Den Forschern gelang es, mittels Schadsoftware einen Angriff auf das neue App-basierte Verfahren der Sparkasse vorzunehmen. Dabei haben Haupert und Müller eine Transaktionssumme von 0,10 auf 13,17 EUR erhöht und den Empfänger der Überweisung nach Belieben verändert. Für das potentielle Opfer sei der Vorgang nicht erkennbar gewesen. Prinzipiell sei der Angriff auf alle Banking-Apps möglich, die das TAN-App-Verfahren nutzen.

Schuld daran sei im Wesentlichen ein konzeptioneller Fehler des neuen Systems, da beim Online-Banking über TAN-Apps eine schwache 2-Faktor-Authentifizierung zum Einsatz kommt. Anstatt die Anmeldung wie üblich über verschiedene Geräte auszuführen, kommen hier lediglich zwei unterschiedliche Apps auf demselben Gerät zum Einsatz. Ein Banking-Trojaner, der mit Systemrechten läuft und damit in einer höheren Privilegierungsebene als die verwendeten Apps aktiv ist, sei immer in der Lage sämtliche Schutzmechanismen auszuhebeln.

Dass beim Online-Banking generell Vorsicht geboten ist, zeigt eine aktuelle Betrugswelle, die es auf Mobilfunkkunden der Telekom abgesehen hat.