Sie sind hier:

Online-Banking Sicherheitslücken beim photoTAN-Verfahren

|

A A A
Sind sowohl photoTAN- als auch Banking-App auf einem Smartphone installiert, können Unbefugte Überweisungen unter bestimmten Bedingungen unbemerkt ausführen – wie Bequemlichkeit die eigentlich sichere Zwei-Wege-Authentifizierung unterläuft. 
Mobile Banking ist in Deutschland auf dem Vormarsch

Schwachstelle: Online-Banking- und photoTAN-App auf dem selben Smartphone

Doppelt genäht hält besser – nach diesem Prinzip funktioniert auch die Zwei-Wege-Authentifizierung beim sogenannten photoTAN-Verfahren. Dazu sind zwei Geräte erforderlich. Um im Online-Banking am PC zum Beispiel einen Überweisungsauftrag zu bestätigen, wird eine Grafik mit verschlüsselten Transaktionsdaten erzeugt. Nachdem der Kontoinhaber diese mit der photoTAN-App auf seinem Smartphone von Bildschirm abfotografiert hat, wird auf dem mobilen Gerät eine TAN angezeigt. Die muss der Kunde nur noch im Online-Banking auf dem PC eingeben. Die Verwendung von zwei Geräten soll Fremdzugriffe erschweren. Dass eine doppelte Absicherung bei unsachgemäßer Benutzung aber nicht immer sicher ist, haben jetzt die beiden IT-Sicherheitsforscher Vincent Haupert und Tilo Müller von der Friedrich-Alexander Universität Erlangen-Nürnberg herausgefunden.

Überweisungen umleiten, erstellen und verstecken

Nachdem die Wissenschaftler eine Schadsoftware auf Android-Smartphones installiert hatten, konnten sie Onlineüberweisungen einfach umleiten oder selber in Auftrag geben – allerdings nur, wenn sowohl photoTAN- als auch Banking-App auf dem Smartphone installiert waren. Dann nämlich tauschen Banking- und photoTAN-App die verschlüsselten Transaktionsdaten und die TAN direkt untereinander über die sogenannte App-to-App-Kommunikation aus – der Nutzer muss also gar kein Muster mehr vom Bildschirm eines PCs abfotografieren. Das ist für ihn bequem, kann dem Experiment zufolge aber unsicher sein.

Eine reale Gefahr entsteht, wenn der Nutzer außerdem eine App mit Virus auf seinem Smartphone installiert hat. Schadsoftware wie „Godless“ beispielsweise konnten sich Besitzer von Android-Smartphones über Apps einfangen, die sie regulär über den Google Play Store heruntergeladen haben. Millionen von Smartphones wurden auf diesem Weg infiziert. Die Forscher führten den Versuch mit Android-Smartphones durch, doch auch Apple-Geräte könnten grundsätzlich betroffen sein, schreiben sie.

Die umgeleiteten Transaktionen sind für das Opfer nicht einsehbar, solange es seine Bankgeschäfte über das Smartphone abwickelt. „Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken“, sagte Haupert gegenüber der Süddeutschen Zeitung.  Nur wer seine Überweisungen vom PC aus überprüft, hat die Chance, auf den Missbrauch aufmerksam zu werden. Angreifbar macht sich, wer Online-Banking-App als auch photoTAN-App auf einem Smartphone installiert. Denn so kann die Zwei-Wege-Authentifizierung umgangen werden, für die eigentlich zwei Geräte verwendet werden sollen. Ein konkreter Missbrauchsfall ist aber bislang nicht bekannt geworden.Für Verbraucher, die zwei verschiedene Geräte verwenden, beispielsweise PC und Smartphone, ist die Authentifizierung per photoTAN nach Einschätzung der beiden Experten sicher.
 

 

Zwei-Wege-Authentifizierung

 

Bei der Zwei-Wege-Authentifizierung, häufig auch Zwei-Faktoren-Authentifizierung genannt, sind meistens zwei Geräte wie beispielsweise ein PC und ein Smartphone nötig, um die Identität des Nutzers oder eine Transaktion zu bestätigen. Neben den Anmeldedaten beispielsweise im Online-Banking ist noch eine zusätzliche PIN (auch Token genannt) oder eine TAN notwendig. Diese wird an einem anderen Ort erzeugt und an den Nutzer übermittelt als auf der Webseite, auf der sich ein Nutzer anmelden will. Dies geschieht per E-Mail, SMS, Sprachanruf oder auf einem zweiten Gerät, etwa in einer photoTAN-App auf dem Smartphone oder einem TAN-Generator. Selbst wenn sich Unbefugte Zugang zum Online-Banking-Konto verschafft haben, können Sie keine Transaktionen oder ähnliches ausführen, da PIN oder TAN auf einem anderen Weg an den Nutzer übermittelt wurden. Doch App-to-App-Kommunikation wie im Versuch der beiden Forscher kann die Zwei-Wege-Authentifizierung umgehen. Sind beispielsweise Banking-App und photoTAN-App auf einem Smartphone installiert, können die Apps die Daten untereinander austauschen. Haben sich unbefugte Zugang zu dem Smartphone verschafft, können sie diese Daten möglicherweise einsehen.

Schon früher gab es auch beim mTAN-Verfahren Schwachstellen

Auch das sogenannte mTAN-Verfahren wies in der Vergangenheit bei einigen Kreditinstituten Sicherheitslücken auf. Bei dieser Methode wird die TAN per SMS auf das Smartphone des Nutzers gesendet. Im Herbst 2013 erbeuteten Betrüger hunderttausende Euro, indem sie zunächst die Computer der Opfer nach Passwörtern fürs Onlinebanking durchsuchten. Anschließend organisierten sich die Täter eine zweite SIM-Karte für die Mobilfunknummer der Geschädigten. Daraufhin wurden die SMS mit den mTAN-Nummern auch an die Betrüger gesendet. Auf diese Weise konnten diese die Zwei-Wege-Authentifizierung aushebeln. Zwar wurden mittlerweile einige Sicherheitslücken geschlossen, unter anderem können sich Dritte nicht mehr unbefugt eine SIM-Karte für eine Mobilfunknummer besorgen. Trotzdem raten die Verbraucherzentralen vom mTAN-Verfahren ab. Als betrugssicher empfehlen sie dagegen das sogenannte Chip-TAN-Verfahren, bei dem die TAN über ein weiteres Gerät, dem TAN-Generator erzeugt wird. Dieser kostet zwar ein paar Euro, doch die Investition kann sich lohnen.

So können Sie Missbrauch beim Online-Banking vorbeugen

Bankkunden haben mehrere Möglichkeiten, sich gegen Missbrauch bei Online-Bankgeschäften zu schützen. Verbraucher sollten sich zunächst die Sicherheitshinweise auf der Internetseite des jeweiligen Kreditinstituts genau durchzulesen. Zudem sollten alle Legitimationsverfahren so angewendet werden, wie sie vorgesehen sind: Nutzer sollten eine Zwei-Wege-Authentifizierung auch wirklich mit zwei verschiedenen Geräten durchführen und nicht etwa eine TAN auf das Smartphone schicken lassen, wenn sie Bankgeschäfte mit einer App auf demselben durchführen. Besteht der Verdacht darauf, dass Unbekannte Abbuchungen vom Konto vornehmen, sollte der Nutzer umgehend seine PIN ändern. Geschädigte sollten dies sicherheitshalber telefonisch durchführen und nicht über die Online-Banking-App. In jedem Fall ist es für Betrugsopfer ratsam, Anzeige zu erstatten.

Weitere Nachrichten über Girokonto

Weitere Nachrichten über Girokonto