Sie sind hier:

Sparkasse: Sicherheitslücken bei pushTAN-Verfahren im Mobile Banking

München, | 15:50 | cmh

Die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, warnt vor der Verwendung von Onlinebanking-App und TAN-Generator auf ein und demselben mobilen Endgerät. Laut dem Onlinemagazin golem.de ist es Sicherheitsforschern im Rahmen des 32. Chaos Communication Congress wiederholt gelungen, das Onlinebanking mit pushTAN-Verfahren der Sparkasse zu hacken.

SmartSecure-App: Überweisung per Mobile Banking Banking-App und TAN-Generator sollten sich unbedingt auf getrennten Geräten befinden
Laut Statistik der Deutschen Bundesbank werden mittlerweile über die Hälfte der Girokonten in Deutschland online geführt. Viele Banken bieten daher Apps und TAN-Generatoren für das Mobile Banking auf dem Smartphone an. So wirbt etwa die Sparkasse für ihr pushTAN-Verfahren mit einem hohen Sicherheitsstandard und dem Argument, dass kein zweites Gerät zur Generierung der TAN-Nummern nötig ist.

Banking-App und TAN-Übermittlung trennen

Genau vor der Nutzung beider Anwendungen auf demselben Gerät warnt jedoch die BaFin. Dem Sicherheitsforscher Vincent Haupert von der Uni Erlangen war es auch bei der neuen Version der Sparkassen-App relativ einfach möglich, Transaktionen mit dem Smartphone zu manipulieren. So sieht für den Nutzer alles weiterhin normal aus, während im Hintergrund ein beliebiger Betrag auf das Konto von Betrügern überwiesen werden kann.

Sichere Alternativen

Die Experten gehen davon aus, dass auch zukünftige Versionen des mobilen TAN-Verfahrens nicht völlig sicher gegen Angriffe von außen sein werden. Von den Sicherheitslücken sind neben der Sparkasse auch alle anderen Banken betroffen. Ausreichenden Schutz bietet demnach nur die Trennung der Banking-Funktionen. Hierfür sollten unterschiedliche Endgeräte oder externe Autorisierungsgeräte wie TAN-Generatoren in Verbindung mit der Bankkarte verwendet werden.