Nur notwendige Cookies
Unvergleichlich lecker
Mit dem Klick auf „Geht klar” ermöglichen Sie uns Ihnen über Cookies ein verbessertes Nutzungserlebnis zu servieren und dieses kontinuierlich zu verbessern. Damit können wir Ihnen personalisierte Empfehlungen auch auf Drittseiten ausspielen. Über „Anpassen” können Sie Ihre persönlichen Präferenzen festlegen. Dies ist auch nachträglich jederzeit möglich. Mit dem Klick auf „Nur notwendige Cookies” werden lediglich technisch notwendige Cookies gespeichert.
Anpassen Geht klar
Datenschutzerklärung Impressum
« zurück
Ihre Cookie-Präferenzen verwalten
Wählen Sie, welche Cookies Sie auf check24.de akzeptieren.
Die Cookierichtlinie finden Sie hier.
Notwendig
Diese Cookies und andere Informationen sind für die Funktion unserer Services unbedingt erforderlich. Sie garantieren, dass unser Service sicher und so wie von Ihnen gewünscht funktioniert. Daher kann man sie nicht deaktivieren.

Zur Cookierichtlinie
Analytisch
Wir möchten für Sie unseren Service so gut wie möglich machen. Daher verbessern wir unsere Services und Ihr Nutzungserlebnis stetig. Um dies zu tun, möchten wir die Nutzung des Services analysieren und in statistischer Form auswerten.

Zur Cookierichtlinie
Marketing
Um Ihnen unser Angebot kostenfrei anbieten zu können, finanzieren wir uns u.a. durch Werbeeinblendungen und richten werbliche und nicht-werbliche Inhalte auf Ihre Interessen aus. Dafür arbeiten wir mit ausgewählten Partnern zusammen. Ihre Einstellungen können Sie jederzeit mit Klick auf Datenschutz im unteren Bereich unserer Webseite anpassen. Ausführlichere Informationen zu den folgenden ausgeführten Verarbeitungszwecken finden Sie ebenfalls in unserer Datenschutzerklärung.
Wir benötigen Ihre Zustimmung für die folgenden Verarbeitungszwecke:
Informationen auf einem Gerät speichern und/oder abrufen
Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Geräte-Kennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.
Auswahl einfacher Anzeigen
Anzeigen können Ihnen basierend auf den Inhalten, die Sie ansehen, der Anwendung, die Sie verwenden oder Ihrem ungefähren Standort oder Ihrem Gerätetyp eingeblendet werden.
Ein personalisiertes Anzeigen-Profil erstellen
Über Sie und Ihre Interessen kann ein Profil erstellt werden, um Ihnen für Sie relevante personalisierte Anzeigen einzublenden.
Personalisierte Anzeigen auswählen
Personalisierte Anzeigen können Ihnen basierend auf einem über Sie erstellten Profil eingeblendet werden.
Ein personalisiertes Inhalts-Profil erstellen
Über Sie und Ihre Interessen kann ein Profil erstellt werden, um Ihnen für Sie relevante personalisierte Inhalte anzuzeigen.
Zur Cookierichtlinie
Auswahl speichern Alle akzeptieren
Jetzt Punkteteilnehmer werden: 5 € sichern
Nachhaltigkeit
Ihr Browser wird nicht mehr unterstützt.
Damit Sie auch weiterhin schnell und sicher auf CHECK24 vergleichen
können, empfehlen wir Ihnen einen der folgenden Browser zu nutzen.
Trotzdem fortfahren
Google Chrome Mozilla Firefox Microsoft Edge
Sie sind hier:
Nachrichten
App-TAN-Verfahren betroffen
A A A

Forscher zeigen Sicherheitslücken bei 31 Onlinebanking-Apps auf

München, 27.11.2017 | 14:14 | sap

IT-Wissenschaftler haben Schwächen bei 31 Onlinebanking-Apps aufgedeckt. Die Forscher konnten Empfänger ändern und TAN abgreifen. So reagieren die Institute.

Beim Mobile Banking lauern auf die Nutzer einige Gefahren. Foto: iStock
Beim Mobile Banking sollten sich Nutzer einiger Gefahren bewusst sein. Foto: iStock
Banking-Apps werden bei den Deutschen beliebter. Laut einer Bitkom-Studie von Juni 2016 sind es bereits 30 Prozent, die via Smartphone und Tablet Bankgeschäfte dank Onlinebanking-App erledigen. Der Vorteil ist, dass die Kunden immer und überall Geld überweisen können. Vincent Haupert und Nicolas Schneider, IT-Wissenschaftler aus Erlangen, haben schon im letzten Jahr auf Schwachstellen hingewiesen. Nun zeigen sie erneut, dass Hacker Sicherheitslücken in der App ausnutzen können.

Wie die „Süddeutsche Zeitung“ berichtet, haben die Forscher die Schutzmechanismen von insgesamt 31 Finanz-Apps überwunden und der Zeitung einige Angriffe vorgeführt. Dazu zählte unerlaubtes Ausführen und Kopieren der App bis hin zum Ändern der IBAN-Nummer und dem Versenden der Transaktionsnummer (TAN) auf beliebige Geräte. Hacker könnten also auf die Banking-App der Nutzer zugreifen und Geld auf das eigene Konto transferieren, ohne dass die Bankkunden davon etwas merken.

Alle betroffenen Banken nutzen den gleichen Banking-App-Dienstleister Promon, dessen Maßnahmen „nicht so schlecht“ seien, wie die Zeitung die Forscher zitiert. Es brauche einen komplexen Angriff, um die Schutzmechanismen zu umgehen. Versierte Hacker würden dafür ein bis zwei Monate brauchen, so die Einschätzung der Wissenschaftler – und das trotz Anleitung. Welche Voraussetzungen für das Smartphone vorlagen, also welches Betriebssystem genutzt wurde oder ob physischer Zugriff nötig war, wollen die Forscher Ende des Jahres beim Chaos Communication Congress (CCC) erläutern.

Deutsche Kreditwirtschaft: „Noch keine Angriffe bekannt“

Die Deutsche Kreditwirtschaft erklärt zu den Ergebnissen der Forscher: „Uns sind noch keine derartigen technischen Angriffe gegen Banking-Apps in der Praxis und daraus resultierende Schadensfälle bekannt.“ Man halte die Sicherheit der von den Banken und Sparkassen angebotenen Banking-Apps weiterhin für gewährleistet. Trotzdem steht die Deutsche Kreditwirtschaft nach eigener Aussage, wie auch die Anbieter der Apps, mit der Universität Erlangen-Nürnberg im direkten Dialog, um die Schwachstellen besser einschätzen und eine schnelle Abhilfe einleiten zu können. „Eine Reihe von Banking-Apps wird daher bereits in den nächsten Tagen in neuen Versionen bereitgestellt“, heißt es in der Mitteilung weiter.

Die betroffenen Banken selbst äußern sich ebenfalls zum erfolgreichen Angriff der Wissenschaftler. „Das von uns umgesetzte Verfahren, beide Kanäle auf einem Gerät zu nutzen, sehen wir unter Abwägung von Risiko und Kundennutzen als geeignet an“, zitiert die „Süddeutsche Zeitung“ einen Sprecher der Stadtsparkassen, deren App auch vom Dienstleister Promon programmiert wurde.

Nur App-TAN-Verfahren betroffen

Der Angriff galt nur dem App-TAN-Verfahren. Unter App-TAN-Verfahren versteht man, dass der Nutzer Onlinebanking-App und eine bankeigene App, welche die TAN generiert, auf ein und demselben Gerät verwendet. Ähnliche strukturelle Schwächen beim App-TAN-Verfahren hatte Haupert mit seinem Kollegen Tilo Müller bei den Stadtsparkassen schon im Jahr 2015 aufgedeckt. Damals attestierten sie: „Letztendlich kann insbesondere die Implementierung der S-push-TAN-App zwar als technisch stark und hochwertig, deren grundsätzliche Konzeption aber als schwach und angreifbar bewertet werden.“

Haupert wiederholte in dem Bericht der „Süddeutschen Zeitung“, dass es keinen richtigen Weg gebe, sich bei Banking-Verfahren auf ein einzelnes Gerät zu verlassen. Das betont auch das Bundesamt für Information und Sicherheit (BSI). „Sichere TAN-Verfahren nutzen einen zweiten Faktor und eine zusätzliche Hardware, die nicht das Smartphone ist“, heißt es von der Behörde. Dazu zählen unter anderem das ChipTAN- und HBCI-Verfahren. Bei dieser sogenannten Zwei-Wege-Authentifizierung minimieren Kontoinhaber das Risiko eines Missbrauchs.

Weitere Nachrichten