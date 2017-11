Forscher hacken sich ein

Die Papierüberweisung hat ausgedient, immer mehr Menschen nutzen Online-Banking und mobiles Banking für ihren Geldverkehr. Bisher galt das TAN-System auf dem Smartphone in vielen Fällen als sicher. Nun aber gibt es Hinweise auf Schwachstellen im System.

Erlangen/Hannover. Die App der eigenen Bank ist bei immer mehr Smartphone-Nutzern fest installiert. Bisher galten die verschiedenen Systeme zum Schutz gegen Betrüger als recht sicher. Doch jetzt haben Forscher eine Sicherheitslücke entdeckt.

Warum gibt es Zweifel an der Sicherheit der Apps?

Für das Banking per Smartphone ist in vielen Fällen die Erzeugung einer Transaktionsnummer, der sogenannten TAN, erforderlich. Nur mit ihr können Bankkunden Überweisungen tätigen. Das galt je nach Methode, mit der die TAN generiert wurde, bisher als recht sicher. Banken bieten aber mittlerweile Wege an, bei denen man auf die sogenannte Zwei-Faktor-Authentifizierung – eine Methode, bei der zwei verschiedene Geräte nötig sind, um eine Überweisung durchzuführen – verzichten kann. IT-Sicherheitsforscher von der Friedrich-Alexander-Universität Erlangen haben nun der „Süddeutschen Zeitung“ demonstriert, dass sie dabei bestimmte Sicherheitsmaßnahmen aushebeln konnten.

Wo genau liegt die Schwachstelle, die die Experten gefunden haben?

Die Forscher platzierten für den Hack auf dem Gerät „eine bereits bekannte Sicherheitslücke“, mit der man die Kontrolle über Apps übernehmen kann. Umgehen konnten die Forscher die Sicherheitsmaßnahmen, wenn Kunden Banking- und Tan-App auf demselben Smartphone verwendeten. In diesem Fall könnten Angreifer Geld von Bankkunden auf eigene Konten umleiten, hieß es. Es blieb offen, ob man dafür physischen Zugriff auf das Gerät braucht und welche Smartphone-Betriebssysteme betroffen sind. Details sollen Ende Dezember auf dem diesjährigen Chaos Communication Congress präsentiert werden

Wie viele Anwendungen sind betroffen?

Nach Angaben der Forscher aus Erlangen sind von der Schwachstelle 31 Banking-Apps betroffen, darunter sind auch deutsche Finanzinstitute wie die Commerzbank, die Stadtsparkassen, Comdirect und die Fidor-Bank. Zurückzuführen ist die Sicherheitslücke nach Angaben der Forscher aber vor allem darauf, dass alle Apps auf den Dienstleister Promon zurückgriffen.

Wie reagieren die Banken?

Die betroffenen Apps sollen in Kürze ein Update erhalten. Das kündigte der Verband Deutsche Kreditwirtschaft am Freitag an. Man halte „die Sicherheit der von den Banken und Sparkassen angebotenen Banking-Apps weiterhin für gewährleistet“, hieß es. Der Verband und die Anbieter der Apps stünden mit den Forschern aber in direktem Dialog, um die Schwachstellen besser einschätzen und Abhilfe schaffen zu können. „Eine Reihe von Banking-Apps wird daher bereits in den nächsten Tagen in neuen Versionen bereitgestellt.“ Bisher seien aber noch keine Angriffe und Schadensfälle in der Praxis bekanntgeworden. Auch von Promon heißt es, man arbeite bereits daran die Sicherheitslücke zu schließen.

Was müssen Kunden nun tun?

Wer eine der betroffenen Apps installiert hat, sollte in jedem Fall Updates installieren. Die akute Gefahr ist für Kunden jedoch gering. Die Forscher geben selbst an, dass es unwahrscheinlich ist, dass kriminelle Hacker die Lücke ausnutzen würden – dazu sei der Hack „zu komplex“.

Ist keine Variante des Online-Bankings sicher?

Doch. Als besonders sicher gelten Transaktionen, die mit einem sogenannten TAN-Generator ausgeführt werden. Bei den meisten muss der Bankkunde seine EC-Karte in ein batteriebetriebenes Lesegerät stecken. Bei einer Überweisung erzeugt das Gerät eine Nummer, die der Kunde dann am Computer eingeben muss. Vielen gilt diese Variante aber als zu umständlich.

Von RND/sag (mit:dpa)