ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Photo-Tan: Sicherheitsprobleme bei Apps verschiedener Banken

Daniel Kurbjuhn
33 Kommentare
Photo-Tan: Sicherheitsprobleme bei Apps verschiedener Banken
Bild: Swipespot | CC BY 2.0

Mit dem Photo-TAN-Verfahren soll das Online-Banking sicherer gemacht werden. Doch nun hat eine Studie aufgezeigt, dass die Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar sind. Problem ist dabei der fehlende Schutz der Zwei-Faktor-Authentifizierung.

Unter anderem den Kunden der Deutschen Bank wird empfohlen, ihre Bankgeschäfte doch bequem über die App des Geldhauses zu erledigen. Damit kann der Nutzer zum Beispiel schnell Geld von seinem Konto auf das eines anderen Empfängers überweisen. Dabei wird die Banking-App von einer Photo-TAN-App begleitet, mit der die Überweisung bestätigt wird.

Umgehung der Zwei-Faktor-Authentifizierung

Doch die Apps der Banken sind angreifbar und ermöglichen Dritten dem Nutzer durch Schadcode ein falsches Bild vorzutäuschen. Wie der Bericht der Friedrich-Alexander Universität Erlangen zeigt, lassen sich die Apps so manipulieren, dass der Nutzer nicht merkt, dass ein anderer Betrag an ein anderes Konto überwiesen wird. Auch eine spätere Kontrolle über die App ist nicht möglich, da das falsche Bild aufrecht erhalten wird. Erst die Kontrolle der Kontoauszüge oder des Kontostands an einem anderen Gerät kann den Betrug aufdecken.

Das Problem dabei ist die Umgehung der Zwei-Faktor-Authentifizierung, die eigentlich dazu dient, einen Angriff durch Schadsoftware zu vermeiden. Durch den gleichzeitigen Einsatz der Banking-App und der Photo-TAN-App wird jedoch der zweite Faktor auf dasselbe Gerät verlegt und die Photo-TAN direkt innerhalb des Smartphones übertragen. Damit müssen Angreifer lediglich dieses Gerät kompromittieren.

Online-Banking immer und überall

Ursprünglich war das Photo-TAN-Verfahren geschaffen worden, um das Online-Banking am Computer sicherer zu gestalten. Dabei wurde der Überweisungsauftrag am Computer oder Notebook eingegeben und die Durchführung mit Hilfe des Smartphones und der Photo-TAN bestätigt.

Doch auch das Online-Banking wird immer mobiler, weshalb sich die Bankgeschäfte mehr und mehr auf Smartphones verlagern. Entsprechend geht der Sicherheitsforscher Vincent Haupert davon aus, dass Kriminelle in Zukunft verstärkt Smartphones für ihre Angriffe ins Visier nehmen werden. Dabei kann grundsätzlich jede Sicherheitslücke ausgenutzt werden, mit der die Angreifer administrative Rechte auf dem Smartphone erhalten.

Anderes TAN-Verfahren nutzen

Für mehr Sicherheit können die Anwender aber selber sorgen. Wer beispielsweise das Photo-TAN-Verfahren weiterhin nutzen will, sollte die Apps der Banken nur zur Prüfung des Kontostands nutzen, Überweisungen aber von einem anderen Gerät aus durchführen. Wer auf die Überweisungsfunktion der App nicht verzichten möchte, sollte das TAN-Verfahren wechseln. Dabei sind vor allem das eTAN- oder smartTAN-Verfahren zu empfehlen, sowie die klassischen Listen des iTAN-Verfahrens. Ähnliche Unsicherheit bietet hingegen das mTAN-Verfahren, bei der eine SMS mit der TAN an die Mobilfunknummer geschickt wird.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz