Digital
Datenschutz

photoTan: Warum dein E-Banking nicht so sicher ist, wie deine Bank behauptet

Deutschen Forschern ist es gelungen, den Sicherheitsschutz Phototan bei Banking-Apps auszuhebeln und so Überweisungen umzuleiten oder selbst zu erstellen.
Deutschen Forschern ist es gelungen, den Sicherheitsschutz Phototan bei Banking-Apps auszuhebeln und so Überweisungen umzuleiten oder selbst zu erstellen.

Forscher zeigen, warum dein E-Banking nicht so sicher ist, wie du glaubst

Deutschen Wissenschaftlern ist es gelungen, das beim Mobile-Banking eingesetzte Phototan-Verfahren zu knacken. 
18.10.2016, 13:3119.10.2016, 16:56
Mehr «Digital»

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der Süddeutschen Zeitung gelungen, auf manipulierten Smartphones das beim Mobile-Banking eingesetzte Verfahren Phototan zu knacken.

Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Handys installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen können manipuliert werden, wenn Banking-App und Phototan-App auf einem Gerät installiert sind – was sehr oft der Fall sein dürfte.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller Banken wie die Deutsche Bank oder die Commerzbank ins Visier genommen werden. «Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschliessend zu verstecken», sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt. 

In der Schweiz nutzt etwa die Raiffeisen Bank das Photo-Tan-Verfahren, das bislang als sicher galt. Die Bank teilt auf Anfrage mit, dass bei ihrem E-Banking «mehrere Sicherheitsstufen implementiert» sind, die man «aus Sicherheitsgründen nicht im Detail erläutern möchte» und betont: «Raiffeisen bietet mit den eingesetzten Sicherheitsmassnahmen ein sicheres E-Banking an.» Zudem gehe man davon aus, dass sich reale Angriffe von Angriffen in Labor-Umgebungen unterscheiden.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem iPhone oder Android-Smartphone der Opfer bereits eine mit Viren infizierte App installiert ist. «Das macht den Angriff schwieriger, aber nicht unmöglich», sagt Haupert.

So funktioniert Phototan

Mit der Phototan wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter grosses Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt.

Nach der Entschlüsselung der Phototan sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Attacke bei allen Smartphones möglich

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die Phototan-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer Phototan auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch bei Apples iPhone-Betriebssystem iOS denkbar.

Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

(oli/sda/dpa)

Handys schiessen keine guten Fotos? Dann hast du diese 20 Traum-Aufnahmen noch nicht gesehen

1 / 22
Handys schiessen keine guten Fotos? Dann hast du diese 20 Traum-Aufnahmen noch nicht gesehen
Das erste Smartphone von Google – das Pixel – macht seinem Namen alle Ehre. Jup, diese Fotos kommen aus Googles Handy-Kamera.
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
36 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
dF
18.10.2016 15:05registriert November 2015
Egal ob auf dem Smartphone, dem Tablet, oder auf dem Computer.
Sobald das entsprechende Gerät kompromittiert ist, ist das eBanking mit jenem Gerät nicht mehr sicher.
Auch wenn die Technologie dahinter ansonsten sehr sicher ist.
Sollten mittlerweile alle wissen.
311
Melden
Zum Kommentar
avatar
C0BR4.cH
18.10.2016 13:34registriert März 2015
Betrifft nur, wenn man das E-Banking über das Handy macht. Das wurde schon am letztjährigen CCC in Hamburg demonstriert btw und ist nichts neues.

Man sollte so oder so kein E-Banking über das Handy machen. Imfall.
368
Melden
Zum Kommentar
avatar
Wuschelhäschen
18.10.2016 14:46registriert September 2016
Macht doch den Leuten nicht unnötig Angst! E-Banking ist für den Nutzer sicher, wenn die Bank trotzdem gehackt wird, dann kriegt der Kunde das Geld zurück.
279
Melden
Zum Kommentar
36
Aufschub für Assange: Wikileaks-Gründer kann noch hoffen
Im jahrelangen Rechtsstreit um die von den USA geforderte Auslieferung von Wikileaks-Gründer Julian Assange wurde an diesem Dienstag ein Urteil gefällt: Assange erhält eine Gnadenfrist.

Der 52-Jährige dürfe nicht unmittelbar an die Vereinigten Staaten überstellt werden, entschied der Londoner High Court am Dienstag. Demnach könnte dem Antrag auf Berufung des Australiers noch immer stattgegeben werden.

Zur Story