Nicht sicher: 31 Apps für das Online-Banking haben folgenschwere Sicherheitslücken, darunter Programme der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Durch einen Hacking-Angriff ist es deutschen Informatikern gelungen, die Sicherheitssoftware dieser Apps auszuschalten und so Transaktionsvorgänge zu manipulieren. Updates der Banking-Apps sollen in den nächsten Tagen diese Sicherheitslücke schließen.
Im Zeitalter der Smartphones und Tablets nutzen immer mehr Menschen die Möglichkeit, auch ihre Bankgeschäfte online und mobil zu erledigen. Dafür bieten die meisten Banken inzwischen spezielle Apps an, die das Online-Banking einfach und sicher machen sollen. Oft wird diese App mit einer zweiten Anwendung kombiniert, der TAN-App. Diese fordert verschlüsselt die Transaktionsnummer (TAN) von der Bank an und gibt diese dann an die Banking-App weiter.
Sicherheitsbarrieren umgangen
Doch wie Vincent Haupert und Nicolas Schneider von der Universität Erlangen-Nürnberg nun enthüllen, hat gerade diese Methode erhebliche Sicherheitslücken. Sie haben ein Programm geschrieben, das die Sicherungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank.
„Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken“, erklärt Schneider. Kriminellen Hackern wäre es dadurch möglich, Überweisungen so zu manipulieren, dass das Geld unbemerkt auf eigene Konten umgeleitet wird. Auch die Verschlüsselung sensibler Kundendaten lasse sich außer Kraft setzen, so die Forscher. Obwohl sie den Angriff zunächst nur für das Betriebssystem Android simuliert haben, sei er auch auf iOS-Geräten möglich.
Sicherheits-Software als Angriffspunkt
Angriffspunkt dieses Hackings ist eine Sicherheitssoftware, die weltweit von zahlreichen Finanzdienstleistern eingesetzt wird: das sogenannte Promon SHIELD. Diese Software soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist.
Doch Haupert und Schneider ist es nun gelungen, das Promon SHIELD nach detaillierter Analyse abzuschalten. Zwar sei die Deaktivierung der Sicherheitsmechanismen nicht einfach und langwierig, aber für versierte Hacker durchaus machbar, berichten sie. Dem Team gelang es dadurch unter anderem, TAN-Nummern an beliebige Geräte zu versenden und Überweisungen umzuleiten.
Updates in Arbeit
Die Banken und auch Promon haben bereits damit begonnen, ihre Programme gegen einen solchen Angriff zu schützen. Die Deutsche Kreditwirtschaft stehe, wie auch die Anbieter der Apps, mit der Universität Erlangen-Nürnberg in direktem Dialog, um die Schwachstellen besser einschätzen und eine schnelle Abhilfe einleiten zu können, heißt es in einem Statement. Für eine Reihe von Banking-Apps soll bereits in den nächsten Tagen ein entsprechendes Update herauskommen.
Nach Angaben des Unternehmens Promon hat bisher aber kein krimineller Hacker diese Sicherheitslücke ausgenutzt. Auch der Verband der Deutschen Kreditwirtschaft berichtet, ihm seien noch keine derartigen technischen Angriffe gegen Banking-Apps und daraus resultierende Schadensfälle bekannt.
Risiko durch Banking und TAN auf einem Gerät
Nach Ansicht der Nürnberger Informatiker ist jedoch grundsätzlich der Betrieb sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher. In den vergangenen Jahren haben die Forscher bereits mehrfach erfolgreich verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war.
„Die Banken haben unsere Angriffe meist als akademisches Laborexperiment abgetan“, sagt Vincent Haupert. „Wir aber betrachten den Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, bei der die TAN auf einem separaten Gerät erzeugt wird, als konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.“
Menschen, die nicht auf das mobile Banking verzichten wollen, rät Haupert zur Nutzung eines TAN-Generators wie beim ChipTAN-Verfahren üblich.
(Friedrich-Alexander-Universität Erlangen-Nürnberg, 27.11.2017 – NPO)
