Hacker stellen deutsche Banken bloß

Von wegen sicher: Photo-TAN-Apps anfällig für Schadsoftware

Foto von Sebastian Hardt

von Sebastian Hardt (@hardtboiled)-

Zwei Hackern ist es gelungen, das bisher als sicher geltende Photo-TAN-Verfahren der größten deutschen Banken zu knacken. Mit der Schadsoftware ließen sich theoretisch beliebige Überweisungen vom Konto des Opfers durchführen, ohne dass es davon Wind bekommt. Dennoch: Trotz bewiesener Korrumpierbarkeit ihrer Verfahren wollen die Banken ihr Angebot nicht neu konzipieren.

Die verschiedenen TAN-Verfahren galten bisher eigentlich immer als zuverlässige Methode, Online-Überweisungen abzusichern. Ein spezielles Verfahren, das ausgerechnet die großen deutschen Bankhäuser Commerzbank, Deutsche Bank, Norisbank und Comdirect ihren Kunden anbieten, ist jetzt aber überraschend von Sicherheitsforschern überlistet worden: Die sogenannte Photo-Tan.

Überweisung unbemerkt vom Besitzer getätigt

Nie auf nur einem Device!

Die Forscher raten dazu, beim Online-Banking ein Verfahren zu wählen, bei dem mehr als ein Gerät verwendet wird. Zum Beispiel, wie bei vielen TAN-Verfahren üblich, eine Kombination aus Desktop-PC und Smartphone.

Explizit nennen die Forscher jene Photo-TAN-Verfahren, die von den eingangs erwähnten Banken in einer App angeboten werden. Anders als bei herkömmlichen Photo-TAN-Verfahren wird bei dieser offenbar unsicheren Variante sowohl das verschlüsselte Bild als auch die Transaktion über die separate Banking-App auf nur einem Gerät erzeugt.

Durch die somit fehlende Zwei-Wege-Authentifizierung konnten die IT-Experten einen erfolgreichen Angriff auf einem Android-Smartphone simulieren. Nicht nur waren sie in der Lage Überweisungen zu tätigen, sie konnten diese auch nachhaltig vor dem Kontoinhaber verbergen. Auf der Webseite der Friedrich-Alexander Universität Erlangen Nürnberg stellen die Forscher ihre Ergebnisse inklusive ausführlichem Forschungspapier und Videos bereit.

Banken bleiben beim unsicheren Konzept

Damit der Angriff funktioniert, muss auf dem Smartphone bereits eine mit Malware infizierte App installiert sein. Viren, die es auf Android-Systeme abgesehen haben, sind zwar nicht so alltäglich wie beispielsweise Windows-Malware, allerdings treten auch diese neuerdings vermehrt auf - zuletzt sorgte im Sommer der Erpresser-Trojaner 'Godless' für Furore.

Wie Vincent Haupert, einer der zwei Forscher hinter dem Projekt, der Süddeutschen Zeitung mitteilte, haben die betroffenen Finanzunternehmen bisher keine Anstalten gemacht, im Lichte der neuen Erkenntnisse etwas an ihrem Verfahren zu ändern: "Das ist kein technisches, sondern ein konzeptionelles Problem. Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten", so Haupert.

Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Das könnte dich auch interessieren!
Werbung
Ab ins Netz mit dir