Mit den beiden Applikationen Sparkasse+ und pushTAN können Smartphone-Besitzer ihre Transaktionen mit wenigen Display-Berührungen von überall auf der Welt vornehmen. Vor allem das automatische Generieren der Transaktionsnummer (TAN) verspricht komfortables Online-Banking. Der IT-Sicherheitsexperte Vincent Haupert hat es nun bereits zum zweiten Mal geschafft, die Onlinebanking-App zu überlisten. Auf dem 32C3 verkündete er: „Auch diesmal ist ein Angriff geglückt.“
Schon beim ersten Versuch im Oktober gelang es Haupert und seinem Kollegen Tilo Müller von der Uni Erlangen, unbemerkt eine Online-Überweisung auf ein anderes Konto umzuleiten und sogar den Betrag zu ändern (hier der Bericht dazu). Wie Haupert auf dem 32C3 erklärte, liegt das eigentliche Problem aber nicht bei den Onlinebanking-Apps hiesiger Kreditinstitute, sondern bei dem offensichtlich lückenhaften pushTAN-Verfahren. Selbiges ermöglicht Online-Überweisungen via Smartphone mithilfe zweier Apps: eine für die Transaktion selbst und eine zum Generieren der TAN.
Es gab und gibt verschiedene Arten der TAN-Übermittlung. Eine der sichersten Varianten ist das sogenannte ChipTAN- beziehungsweise SmartTAN-Verfahren, das von den meisten Banken verwendet wird. Dabei steckt der Bankkunde seine EC-Karte in einen eigenen TAN-Calculator, mit dem eine individuelle Transaktionsnummer erstellt wird. Hacker bräuchten also für einen Angriff die Karte des jeweiligen Kunden. Dazu sagte Haupert: „Dieses Verfahren ist praktisch nicht zu knacken, das wäre schon ein sehr spezieller Angriff.“
Am 28. April 2016 findet in Berlin die Konferenz WIRED Money statt. Mehr zum Thema digitales Geld findet ihr hier.
