Photo-Tan : Sicherheitsprobleme bei Apps verschiedener Banken

, 33 Kommentare
Photo-Tan: Sicherheitsprobleme bei Apps verschiedener Banken
Bild: Swipespot (CC BY 2.0)

Mit dem Photo-TAN-Verfahren soll das Online-Banking sicherer gemacht werden. Doch nun hat eine Studie aufgezeigt, dass die Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar sind. Problem ist dabei der fehlende Schutz der Zwei-Faktor-Authentifizierung.

Unter anderem den Kunden der Deutschen Bank wird empfohlen, ihre Bankgeschäfte doch bequem über die App des Geldhauses zu erledigen. Damit kann der Nutzer zum Beispiel schnell Geld von seinem Konto auf das eines anderen Empfängers überweisen. Dabei wird die Banking-App von einer Photo-TAN-App begleitet, mit der die Überweisung bestätigt wird.

Umgehung der Zwei-Faktor-Authentifizierung

Doch die Apps der Banken sind angreifbar und ermöglichen Dritten dem Nutzer durch Schadcode ein falsches Bild vorzutäuschen. Wie der Bericht der Friedrich-Alexander Universität Erlangen zeigt, lassen sich die Apps so manipulieren, dass der Nutzer nicht merkt, dass ein anderer Betrag an ein anderes Konto überwiesen wird. Auch eine spätere Kontrolle über die App ist nicht möglich, da das falsche Bild aufrecht erhalten wird. Erst die Kontrolle der Kontoauszüge oder des Kontostands an einem anderen Gerät kann den Betrug aufdecken.

Das Problem dabei ist die Umgehung der Zwei-Faktor-Authentifizierung, die eigentlich dazu dient, einen Angriff durch Schadsoftware zu vermeiden. Durch den gleichzeitigen Einsatz der Banking-App und der Photo-TAN-App wird jedoch der zweite Faktor auf dasselbe Gerät verlegt und die Photo-TAN direkt innerhalb des Smartphones übertragen. Damit müssen Angreifer lediglich dieses Gerät kompromittieren.

Online-Banking immer und überall

Ursprünglich war das Photo-TAN-Verfahren geschaffen worden, um das Online-Banking am Computer sicherer zu gestalten. Dabei wurde der Überweisungsauftrag am Computer oder Notebook eingegeben und die Durchführung mit Hilfe des Smartphones und der Photo-TAN bestätigt.

Doch auch das Online-Banking wird immer mobiler, weshalb sich die Bankgeschäfte mehr und mehr auf Smartphones verlagern. Entsprechend geht der Sicherheitsforscher Vincent Haupert davon aus, dass Kriminelle in Zukunft verstärkt Smartphones für ihre Angriffe ins Visier nehmen werden. Dabei kann grundsätzlich jede Sicherheitslücke ausgenutzt werden, mit der die Angreifer administrative Rechte auf dem Smartphone erhalten.

Anderes TAN-Verfahren nutzen

Für mehr Sicherheit können die Anwender aber selber sorgen. Wer beispielsweise das Photo-TAN-Verfahren weiterhin nutzen will, sollte die Apps der Banken nur zur Prüfung des Kontostands nutzen, Überweisungen aber von einem anderen Gerät aus durchführen. Wer auf die Überweisungsfunktion der App nicht verzichten möchte, sollte das TAN-Verfahren wechseln. Dabei sind vor allem das eTAN- oder smartTAN-Verfahren zu empfehlen, sowie die klassischen Listen des iTAN-Verfahrens. Ähnliche Unsicherheit bietet hingegen das mTAN-Verfahren, bei der eine SMS mit der TAN an die Mobilfunknummer geschickt wird.