Die Bequemlichkeit, das Handy für Bankgeschäfte zu nutzen, könnte vielen Usern zum Verhängnis werden. Insgesamt 31 Apps für Online-Banking wurden Sicherheitslücken nachgewiesen, durch die Hacker leichten Zugriff auf sensible Daten erlangen können. Darunter die Apps der Commerzbank, Stadtsparkassen, Comdirect und der Fidor Bank.
TAN-Nummern können beliebig verschickt werden
Die IT-Sicherheitsforscher Vincent Haupert und Nicolas Schneider der Friedrich-Alexander-Universität Erlangen haben entdeckt, dass sie nicht nur die Schutzmechanismen verschiedener Online-Banking-Apps umgehen, sondern diese auch komplett übernehmen können. Mögliche Angriffe:
- unerlaubtes Ausführen und Kopieren der Apps
- Ändern der IBAN
- Versenden von TAN-Numern (Transaktionsnummern) auf beliebige Geräte
Banking- und TAN-App auf dem Smartphone
Eine Voraussetzug für das Gelingern solcher Hacker-Attacken ist, dass Bankkunden auf ihrem Smartphone oder Tablet sowohl die Banking- als auch die TAN-App installiert und in Benutzung haben. Darüber hinaus scheint die Sicherheitslücke möglich, weil alle betroffenen Online-Banking-Apps durch denselben externen Dienstleister Promon abgesichert werden.
Versierte Hacker brauchen lange, ein Angriff lohnt sich jedoch
Der Vorteil für Nutzer der betroffenen Apps: Haupert zufolge würden selbst versierte Hacker auch mit Anleitung ein bis zwei Monate Zeit benötigen. Zudem würde der Code für den Hack aus sicherheitstechnischen Gründen nicht veröffentlicht werden. Den Angriff selbst will der Sicherheitsforscher aber Ende des Jahres auf der Konferenz des Chaos Computer Club vorstellen.
Hauperts Kollege Schneider betonte allerdings auch, dass sich ein solcher Angriff für Hacker lohnen würde, da in diesem Szenario eine einzelne Schwachstelle für viele Marktteilnehmer zum Verhängnis werden kann.
Bisher keine kriminell motivierten Angriffe
Laut Promon sei es außerhalb der Tests durch die Sicherheitsforscher bisher „keinem Kriminellen gelungen, die Sicherheitslösung zu umgehen“. Man arbeite außerdem bereits mit Haupert zusammen, um die bestehenden Lücken in der Sicherheit zu schließen. Insgesamt ist Promon weltweit für den Schutz von rund hundert Millionen Usern zuständig.
Banken arbeiten an Reaktionsstrategie
Alle betroffenen Banken teilten mit, dass sie sich mit den Ergebnissen genauer auseinander setzen würden. Der Fokus liegt dabei allerdings weniger auf Prävention, sondern auf schnellem Erkennen, wenn Hacker angreifen.
Kritik wurde aus dem Bankenumfeld andererseits an Sicherheitsforscher Haupert geübt, der den Firmen nicht, wie in der IT-Sicherheit üblich, drei Monate Zeit gab, die Lücken zu schließen, bevor er damit an die Öffentlichkeit trat. Haupert wies dies mit dem Argument zurück, dass das Problem im Konzept selbst läge und Banking über ein Gerät generell unsicher sei.