Goodbye, Onlinebanking mit Smartphone!

Pünktlich die Miete zu überweisen, ist manchmal eine schwierige Geschichte - vor allem, wenn das nötige Geld erst kurz vor knapp eintrudelt. Aber hey, wir leben immerhin im Jahr 2015 - also Smartphone raus, Onlinebanking-App und Push-TAN-App angeworfen und zack, ist die Miete bequem von zu Hause aus überwiesen. Alles easy. Oder eben nicht. Denn wenn es blöd läuft, landet ein viel höherer Betrag auf einem ganz anderen Konto.

Zumindet theoretisch ist das möglich: Wenn man zum Beispiel versehentlich eine App installiert, die Malware enthält - zum Beispiel ein Spiel, das unbemerkt einen Schadcode auf mein Smartphone bringt. Der Schadcode kann Sicherheitslücken auf dem Handy ausnutzen und danach manipulieren, was man in die Onlinebanking-Apps eingibt. Statt 300 Euro an den Vermieter könnten dann 1.000 Euro auf das Konto eines Hackers gehen. Und man selbst bekommt davon nicht mal was mit - denn die Onlinebanking-App zeigt weiter die 300 Euro und das Konto des Vermieters an.

Hack für einen guten Zweck

So jedenfalls lief es beim sogenannten "Sparkassen-Hack" von Vincent Haupert und Tilo Müller ab, zwei Wissenschaftlern von der Friedrich Alexander Universität Erlangen-Nürnberg, die die App der Sparkasse gehackt haben, um Sicherheitslücken zu zeigen. So konnten sie Überweisungen ihres potenziellen Opfers zu ihren Gunsten manipulieren.

"Man denkt die ganze Zeit, es geht alles mit rechten Dingen zu, weil die Daten alle korrekt ausschauen. In Wahrheit verändern wir sie aber noch einmal, kurz bevor die Transaktion an den Sparkassen-Server übermittelt wird."

Vincent Haupert

In ihrer Stellungnahme dazu betont die Sparkasse, dass die Wissenschaftler eine alte Version ihrer Push-TAN-App gehackt hätten - mit der neuen sei der Hack nicht mehr möglich. Vincent Haupert sieht darin aber überhaupt nicht den springenden Punkt - nicht die App an sich sei das Problem, sondern die Tatsache, dass wir sowohl Überweisungen als auch die TANs auf unserem Smartphone verwalten:

"Wir haben keine technische Schwachstelle ausgenutzt. Wir haben nur gezeigt, dass es ein Sicherheitsrisiko ist, beide Faktoren auf einem Gerät zu betreiben. Ich bin davon überzeugt, wenn ich mich jetzt nochmal hinsetze, dann werde ich nicht allzu lange brauchen, um genau diesen Angriff nochmal machen zu können." Vincent Haupert

Onlinebanking wird immer unsicher sein

Es geht den beiden Forschern also vor allem um das theoretische Risiko: Online Banking auf dem Smartphone wird immer unsicher sein, sagen sie. Egal mit welcher App, egal, bei welcher Bank. Und zwar aus einem einfachen Grund: Weil wir dabei nur ein einziges Gerät benutzen. Und nicht zwei - wie zum Beispiel einen Computer und ein Handy. Oder den Laptop und einen TAN-Generator. Oder ganz oldschool – den Computer und eine TAN-Liste auf grauem Papier. Wer das hacken wollte, musste beide Geräte kontrollieren. Beim Onlinebanking mit einer Onlinebanking-App und der dazugehörigen Push-TAN-App gibt es nur noch das Smartphone, über das Hacker die Kontrolle bekommen müssen. Und ein Hacker-sicheres Smartphone hat nun mal noch keiner.

Bis jetzt hat es noch keinen echten, erfolgreichen Hacker-Angriff auf das App-TAN-Verfahren gegeben. Das könnte aber bald passieren. Wer auf die hackenden Wissenschaftler hören und auf Nummer sicher gehen möchte, der sollte sich die Onlinebanking-Apps deswegen lieber deinstallieren und seine Überweisungen doch wieder mit Laptop und Handy oder mit Laptop und TAN-Generator machen. Bequemlichkeit und Sicherheit gehen leider nicht immer zusammen. Eigentlich tun sie das fast nie. Doofe Welt.

Hier gehts zum Live-Mittschnitt der Sendung:

http://www.br.de/puls/programm/puls-radio/netzfilter-on-demand-07-11-2015-100.html

 

Quelle: http://www.br.de/puls/themen/netz/sparkasse-app-hack-onlinebanking-100.html


<- Zur Übersicht