Nur notwendige Cookies
Unvergleichlich lecker
Mit dem Klick auf „Geht klar” ermöglichen Sie uns Ihnen über Cookies ein verbessertes Nutzungserlebnis zu servieren und dieses kontinuierlich zu verbessern. Damit können wir Ihnen personalisierte Empfehlungen auch auf Drittseiten ausspielen. Über „Anpassen” können Sie Ihre persönlichen Präferenzen festlegen. Dies ist auch nachträglich jederzeit möglich. Mit dem Klick auf „Nur notwendige Cookies” werden lediglich technisch notwendige Cookies gespeichert.
Anpassen Geht klar
Datenschutzerklärung Impressum
« zurück
Ihre Cookie-Präferenzen verwalten
Wählen Sie, welche Cookies Sie auf check24.de akzeptieren.
Die Cookierichtlinie finden Sie hier.
Notwendig
Diese Cookies und andere Informationen sind für die Funktion unserer Services unbedingt erforderlich. Sie garantieren, dass unser Service sicher und so wie von Ihnen gewünscht funktioniert. Daher kann man sie nicht deaktivieren.

Zur Cookierichtlinie
Analytisch
Wir möchten für Sie unseren Service so gut wie möglich machen. Daher verbessern wir unsere Services und Ihr Nutzungserlebnis stetig. Um dies zu tun, möchten wir die Nutzung des Services analysieren und in statistischer Form auswerten.

Zur Cookierichtlinie
Marketing
Um Ihnen unser Angebot kostenfrei anbieten zu können, finanzieren wir uns u.a. durch Werbeeinblendungen und richten werbliche und nicht-werbliche Inhalte auf Ihre Interessen aus. Dafür arbeiten wir mit ausgewählten Partnern zusammen. Ihre Einstellungen können Sie jederzeit mit Klick auf Datenschutz im unteren Bereich unserer Webseite anpassen. Ausführlichere Informationen zu den folgenden ausgeführten Verarbeitungszwecken finden Sie ebenfalls in unserer Datenschutzerklärung.
Wir benötigen Ihre Zustimmung für die folgenden Verarbeitungszwecke:
Informationen auf einem Gerät speichern und/oder abrufen
Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Geräte-Kennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.
Auswahl einfacher Anzeigen
Anzeigen können Ihnen basierend auf den Inhalten, die Sie ansehen, der Anwendung, die Sie verwenden oder Ihrem ungefähren Standort oder Ihrem Gerätetyp eingeblendet werden.
Ein personalisiertes Anzeigen-Profil erstellen
Über Sie und Ihre Interessen kann ein Profil erstellt werden, um Ihnen für Sie relevante personalisierte Anzeigen einzublenden.
Personalisierte Anzeigen auswählen
Personalisierte Anzeigen können Ihnen basierend auf einem über Sie erstellten Profil eingeblendet werden.
Ein personalisiertes Inhalts-Profil erstellen
Über Sie und Ihre Interessen kann ein Profil erstellt werden, um Ihnen für Sie relevante personalisierte Inhalte anzuzeigen.
Zur Cookierichtlinie
Auswahl speichern Alle akzeptieren
Jetzt Punkteteilnehmer werden: 5 € sichern
Nachhaltigkeit
Ihr Browser wird nicht mehr unterstützt.
Damit Sie auch weiterhin schnell und sicher auf CHECK24 vergleichen
können, empfehlen wir Ihnen einen der folgenden Browser zu nutzen.
Trotzdem fortfahren
Google Chrome Mozilla Firefox Microsoft Edge
Sie sind hier:
Nachrichten
Online-Banking
A A A

Sicherheitslücken beim photoTAN-Verfahren

München, 21.10.2016 | 13:09 | skl

Sind sowohl photoTAN- als auch Banking-App auf einem Smartphone installiert, können Unbefugte Überweisungen unter bestimmten Bedingungen unbemerkt ausführen – wie Bequemlichkeit die eigentlich sichere Zwei-Wege-Authentifizierung unterläuft. 

Mobile Banking ist in Deutschland auf dem Vormarsch
Schwachstelle: Online-Banking- und photoTAN-App auf dem selben Smartphone
Doppelt genäht hält besser – nach diesem Prinzip funktioniert auch die Zwei-Wege-Authentifizierung beim sogenannten photoTAN-Verfahren. Dazu sind zwei Geräte erforderlich. Um im Online-Banking am PC zum Beispiel einen Überweisungsauftrag zu bestätigen, wird eine Grafik mit verschlüsselten Transaktionsdaten erzeugt. Nachdem der Kontoinhaber diese mit der photoTAN-App auf seinem Smartphone von Bildschirm abfotografiert hat, wird auf dem mobilen Gerät eine TAN angezeigt. Die muss der Kunde nur noch im Online-Banking auf dem PC eingeben. Die Verwendung von zwei Geräten soll Fremdzugriffe erschweren. Dass eine doppelte Absicherung bei unsachgemäßer Benutzung aber nicht immer sicher ist, haben jetzt die beiden IT-Sicherheitsforscher Vincent Haupert und Tilo Müller von der Friedrich-Alexander Universität Erlangen-Nürnberg herausgefunden.

Überweisungen umleiten, erstellen und verstecken

Nachdem die Wissenschaftler eine Schadsoftware auf Android-Smartphones installiert hatten, konnten sie Onlineüberweisungen einfach umleiten oder selber in Auftrag geben – allerdings nur, wenn sowohl photoTAN- als auch Banking-App auf dem Smartphone installiert waren. Dann nämlich tauschen Banking- und photoTAN-App die verschlüsselten Transaktionsdaten und die TAN direkt untereinander über die sogenannte App-to-App-Kommunikation aus – der Nutzer muss also gar kein Muster mehr vom Bildschirm eines PCs abfotografieren. Das ist für ihn bequem, kann dem Experiment zufolge aber unsicher sein.

Eine reale Gefahr entsteht, wenn der Nutzer außerdem eine App mit Virus auf seinem Smartphone installiert hat. Schadsoftware wie „Godless“ beispielsweise konnten sich Besitzer von Android-Smartphones über Apps einfangen, die sie regulär über den Google Play Store heruntergeladen haben. Millionen von Smartphones wurden auf diesem Weg infiziert. Die Forscher führten den Versuch mit Android-Smartphones durch, doch auch Apple-Geräte könnten grundsätzlich betroffen sein, schreiben sie.

Die umgeleiteten Transaktionen sind für das Opfer nicht einsehbar, solange es seine Bankgeschäfte über das Smartphone abwickelt. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert gegenüber der Süddeutschen Zeitung.  Nur wer seine Überweisungen vom PC aus überprüft, hat die Chance, auf den Missbrauch aufmerksam zu werden. Angreifbar macht sich, wer Online-Banking-App als auch photoTAN-App auf einem Smartphone installiert. Denn so kann die Zwei-Wege-Authentifizierung umgangen werden, für die eigentlich zwei Geräte verwendet werden sollen. Ein konkreter Missbrauchsfall ist aber bislang nicht bekannt geworden.Für Verbraucher, die zwei verschiedene Geräte verwenden, beispielsweise PC und Smartphone, ist die Authentifizierung per photoTAN nach Einschätzung der beiden Experten sicher.
 

 

Zwei-Wege-Authentifizierung

 

Bei der Zwei-Wege-Authentifizierung, häufig auch Zwei-Faktoren-Authentifizierung genannt, sind meistens zwei Geräte wie beispielsweise ein PC und ein Smartphone nötig, um die Identität des Nutzers oder eine Transaktion zu bestätigen. Neben den Anmeldedaten beispielsweise im Online-Banking ist noch eine zusätzliche PIN (auch Token genannt) oder eine TAN notwendig. Diese wird an einem anderen Ort erzeugt und an den Nutzer übermittelt als auf der Webseite, auf der sich ein Nutzer anmelden will. Dies geschieht per E-Mail, SMS, Sprachanruf oder auf einem zweiten Gerät, etwa in einer photoTAN-App auf dem Smartphone oder einem TAN-Generator. Selbst wenn sich Unbefugte Zugang zum Online-Banking-Konto verschafft haben, können Sie keine Transaktionen oder ähnliches ausführen, da PIN oder TAN auf einem anderen Weg an den Nutzer übermittelt wurden. Doch App-to-App-Kommunikation wie im Versuch der beiden Forscher kann die Zwei-Wege-Authentifizierung umgehen. Sind beispielsweise Banking-App und photoTAN-App auf einem Smartphone installiert, können die Apps die Daten untereinander austauschen. Haben sich unbefugte Zugang zu dem Smartphone verschafft, können sie diese Daten möglicherweise einsehen.

Schon früher gab es auch beim mTAN-Verfahren Schwachstellen

Auch das sogenannte mTAN-Verfahren wies in der Vergangenheit bei einigen Kreditinstituten Sicherheitslücken auf. Bei dieser Methode wird die TAN per SMS auf das Smartphone des Nutzers gesendet. Im Herbst 2013 erbeuteten Betrüger hunderttausende Euro, indem sie zunächst die Computer der Opfer nach Passwörtern fürs Onlinebanking durchsuchten. Anschließend organisierten sich die Täter eine zweite SIM-Karte für die Mobilfunknummer der Geschädigten. Daraufhin wurden die SMS mit den mTAN-Nummern auch an die Betrüger gesendet. Auf diese Weise konnten diese die Zwei-Wege-Authentifizierung aushebeln. Zwar wurden mittlerweile einige Sicherheitslücken geschlossen, unter anderem können sich Dritte nicht mehr unbefugt eine SIM-Karte für eine Mobilfunknummer besorgen. Trotzdem raten die Verbraucherzentralen vom mTAN-Verfahren ab. Als betrugssicher empfehlen sie dagegen das sogenannte Chip-TAN-Verfahren, bei dem die TAN über ein weiteres Gerät, dem TAN-Generator erzeugt wird. Dieser kostet zwar ein paar Euro, doch die Investition kann sich lohnen.

So können Sie Missbrauch beim Online-Banking vorbeugen

Bankkunden haben mehrere Möglichkeiten, sich gegen Missbrauch bei Online-Bankgeschäften zu schützen. Verbraucher sollten sich zunächst die Sicherheitshinweise auf der Internetseite des jeweiligen Kreditinstituts genau durchzulesen. Zudem sollten alle Legitimationsverfahren so angewendet werden, wie sie vorgesehen sind: Nutzer sollten eine Zwei-Wege-Authentifizierung auch wirklich mit zwei verschiedenen Geräten durchführen und nicht etwa eine TAN auf das Smartphone schicken lassen, wenn sie Bankgeschäfte mit einer App auf demselben durchführen. Besteht der Verdacht darauf, dass Unbekannte Abbuchungen vom Konto vornehmen, sollte der Nutzer umgehend seine PIN ändern. Geschädigte sollten dies sicherheitshalber telefonisch durchführen und nicht über die Online-Banking-App. In jedem Fall ist es für Betrugsopfer ratsam, Anzeige zu erstatten.

Weitere Nachrichten