APPsolut sicher? Die Sicherheitslücken beim mobilen Banking

Bild: Colourbox.de
Bild: Colourbox.de

Wer ein Smartphone besitzt, der hat nicht nur ein Telefon dabei, sondern zugleich Kamera, Diktiergerät, Messenger, MP3-Player, Kalender, Wecker, Taschenrechner … Nur logisch also, dass auch das mobile Banking zunehmend mit diesem einen Gerät abgewickelt wird. Genau das aber ist nicht sicher, sagen Informatiker der FAU.

Statt 10 Cent 13 Euro überwiesen

Mithilfe des pushTAN-Verfahrens, wie es beispielsweise die Sparkasse anbietet, kann man Überweisungen einfach via Smartphone vornehmen. Benötigt werden lediglich zwei Apps – eine fürs Banking und eine für die Generierung der TAN. Die ausgegebene TAN kann sogar automatisch in das Banking-Formular übernommen werden, ohne sie umständlich abzutippen. Das ist sehr komfortabel – aber auch sehr problematisch.

„Durch den Betrieb der Banking- und TAN-App auf einem Gerät wird die Zwei-Faktoren-Authentifizierung ausgehebelt“, erklärt Dr. Tilo Müller vom Lehrstuhl für IT-Sicherheitsinfrastrukturen. Um das zu beweisen, haben Müller und sein Assistent Vincent Haupert ein Smartphone mit der Banking- und pushTAN-App der Sparkasse gehackt. Während die Oberfläche eine Transaktion von 10 Cent an das Finanzamt anzeigte, wurden in Wirklichkeit 13,37 Euro auf ein Privatkonto überwiesen. Der Anwender konnte diese Manipulation zu keinem Zeitpunkt erkennen.

Das Problem ist eine konzeptionelle Schwäche

Nachdem die Sparkasse mitteilte, ein solcher Angriff sei nur bei älteren Versionen der App und nur unter Laborbedingungen möglich, haben Haupert und Müller auch die neuen Banking-Apps manipulieren können. „Das Problem ist keine technische, sondern eine konzeptionelle Schwäche des Systems“, sagt Tilo Müller. „App-basierte TAN-Verfahren lassen sich auch durch technische Nachbesserungen nie vollständig absichern. Für sicheres Online-Banking empfehlen wir daher, auf den Komfort des mobilen Bankings auf einem einzigen Gerät zu verzichten.“

So machen Sie mobiles Banking sicherer

Tipp 1: ChipTAN nutzen

ChipTAN ist das sicherste Verfahren des Online-Bankings. Für die Aktivierung des TAN-Generators benötigen Sie Ihre Bankkarte; der Generator liest einen optischen Code vom Screen Ihres Smartphones. Ein Angreifer müsste für Manipulationen sowohl Zugriff auf Ihr Smartphone haben als auch im Besitz Ihrer Bankkarte sein.

Tipp 2: pushTAN auf separatem Gerät

Wenn Ihnen das Mitführen eines ChipTAN-Generators zu umständlich ist und Sie sowieso mit Handy und Tablet unterwegs sind, dann betreiben Sie Banking-App und TAN-App auf verschiedenen Geräten. Manipulationen sind dann nur möglich, wenn der Angreifer sowohl Ihr Smartphone als auch Ihr Tablet hackt.

Tipp 3: Extra-Konto anlegen

Sie möchten auf den Komfort des Bankings auf nur einem Gerät nicht verzichten? Dann können Sie mögliche Schäden begrenzen, indem Sie für mobile Transaktionen ein separates Konto mit geringem Geldbetrag anlegen.

Tipp 4: Keine gefährdeten Smartphones verwenden

Achten Sie darauf, dass Ihr Smartphone, das Sie für mobiles Banking verwenden, sicher ist. Gefährdet sind beispielsweise Nutzer veralteter Versionen des Android-Betriebssystems, von fragwürdigen Inhalten (etwa Streamingdiensten), von gecrackten Apps aus unabhängigen App-Stores sowie von unbekannten Apps aus dem Play-Store, die womöglich Schadsoftware enthalten.

Bild: panthermedia.net/Carsten Reisinger
Bild: panthermedia.net/Carsten Reisinger

Video: Noch mehr zu den Risiken beim Mobile-Banking

Auch die Eins-Festival-Sendung „Markt“ setzte sich mit den Sicherheitsschwächen von Push-Tan-Apps auseinander und sprach dafür mit  FAU-Informatikern.

Neugierig auf mehr?

Dieser Text erschien auch in unserem Magazin alexander, das Sie hier als PDF herunterladen können.

Weitere Themen der Ausgabe Nr. 101: ein Interview mit Direktorin Konstanze Söllner darüber, wie sich die Universitätsbibliothek in Zeiten des Internets wandelt sowie ein Artikel darüber, wie Zahnmedizin-Studierende an der FAU lernen, mit Notfällen in der Zahnarztpraxis richtig umzugehen.

Weitere Beiträge aus dem Magazin finden Sie unter dem Stichwort „alexander“.