Digital

Dieser Hacker erklärt, warum dein E-Banking nicht so sicher ist, wie deine Bank behauptet

Neue Apps sollen das Online-Banking bequemer machen, weil man die benötigte TAN einfach auf dem Handy generiert. Ein Forscher zeigt nun, wie leicht sich dieses System hacken lässt, und verrät, welche Verfahren sicherer sind.

28.12.15, 14:31 28.12.15, 20:06

Judith Horchert / spiegel online

Ein Artikel von

Das sogenannte pushTAN-Verfahren verspricht für die Zukunft ein noch einfacheres Online-Banking: Mithilfe von zwei Apps soll man alle Bankgeschäfte auf dem Handy erledigen können, inklusive Berechnung der Transaktionsummer (TAN). Ein junger Hacker hat das Verfahren nun zum zweiten Mal überlisten können. Auf dem Hacker-Kongress des Chaos Computer Clubs zeigt er am Montag, wie leicht das System anzugreifen ist.

IT-Experte Vincent Haupert: «Man sollte fürs E-Banking immer zwei getrennte Geräte benutzen.»
bild: Vincent Haupert

Bereits im Oktober hatten die Informatiker Vincent Haupert und Tilo Müller von der Uni Erlangen erklärt, wie sie die pushTAN-App der Sparkasse knacken konnten. Sie schafften es, eine Überweisung auf ein anderes Konto umzuleiten und auch den Betrag zu ändern – ohne dass ein potenzielles Opfer davon etwas mitbekommen hätte. (Hier die Forschungsergebnisse als PDF.)

Damals konterte die Sparkasse, der Angriff sei nur bei mittlerweile veralteten Versionen der App möglich, es gebe aber bereits neuere Versionen. Zum CCC-Congress hat sich Vincent Haupert deshalb nun mit der neuesten Version der App auseinandergesetzt: «Auch diesmal ist ein Angriff geglückt», sagt er. Das Problem ist allerdings wohl nicht die App der Sparkasse selbst, sie steht lediglich exemplarisch für das System an sich.

Alles auf einem Gerät zu erledigen, gilt als unsicher

Das sogenannte pushTAN-Verfahren soll es Nutzern ermöglichen, Bankgeschäfte auf dem Smartphone zu erledigen – mithilfe von zwei getrennten Apps: eine fürs Online-Banking selbst und eine für das Generieren der TAN. Sonst wird nichts weiter gebraucht, kein TAN-Rechner, kein Zettel, keine SMS. Der Vorteil: Eine Überweisung ist blitzschnell getätigt, von überall aus. Den Nachteil erklärt Haupert: Weil alles auf einem Gerät stattfindet, ist das Verfahren nicht sicher. Denn wer Zugriff auf das Gerät hat, kann ebenfalls blitzschnell Überweisungen tätigen, von überall aus.

Es war Zufall, dass sich der 26-jährige Informatikstudent genauer mit dem Online-Banking auseinander gesetzt hat. Für ein Auslandssemester wollte er nach Brasilien und informierte sich vorab über sichere Wege des Online-Bankings. Bislang hatte er seine TANs immer per SMS aufs Handy bekommen, nun suchte er nach Alternativen. Der Bankberater warb für eine neue App, mit der Haupert sich die benötigten Nummern gleich auf dem Handy generieren könne – schnell und unkompliziert. Haupert lehnte dankend ab und beschloss stattdessen, die angepriesene App zu hacken.

Mit den TANs war es schon immer so eine Sache. Wer online ein Bankgeschäft – etwa eine Überweisung – tätigen möchte, braucht eine solche Nummer für jede einzelne Transaktion. Seit Jahren setzen die Banken auf verschiedene Verfahren, um diese Nummern ihren Kunden zu übermitteln.

Die pushTAN-App der deutschen Sparkasse: Exemplarisch für das mangelhafte E-Banking-System.

Viele Wege führen zur TAN – nicht jeder ist gut

Angefangen hat das mit einer TAN-Liste auf Papier. Die Bankkunden konnten sich pro Überweisung einfach eine Nummer vom Blatt aussuchen und sie eingeben. «Das gibt es heute nicht mehr, das war nämlich sehr anfällig für Phishing-Angriffe», sagt Haupert. Seitdem gebe es allenfalls noch indizierte TAN-Listen (iTAN), bei denen die Kunden pro Überweisung eine ganz bestimmte Nummer eingeben müssen, doch auch das sei angreifbar. Zum Beispiel hätten manche Kunden gefälschte E-Mails bekommen, in denen sie scheinbar von der Bank aufgefordert wurden, alle ihre TANs irgendwo einzugeben, «und das haben einige Leute auch gemacht», so Haupert. Das Verfahren sterbe ebenfalls aus.

Sicherer ist da laut Haupert das sogenannte mTAN-Verfahren, bei dem die Nummer per SMS aufs Handy geschickt wird – zusammen mit der Information, für welche Überweisung sie gilt. Allerdings hat es auch auf dieses System spektakuläre Angriffe gegeben: Im Oktober kam heraus, dass sich Betrügerbanden als Telekom-Mitarbeiter ausgegeben hatten. Auf diesem Weg konnten sie sich Ersatz-Sim-Karten für die Handys ihrer Kunden ausstellen lassen und die SMS mit den begehrten TANs abfangen. Die Täter schafften es, Zehntausende Franken abzubuchen, insgesamt entstand ein Schaden von mehr als einer Million Franken.

Neben dem mTAN-Verfahren gibt es noch das QR-TAN-Verfahren oder das Photo-TAN-Verfahren, bei dem man mit dem Handy jeweils einen Code oder ein Bild abscannen muss. «Das ist eine ganz gute Variante, weil man auf jeden Fall zwei verschiedene Geräte dafür braucht, das Handy und noch einen weiteren Computer oder ein Tablet, von dem man dann abscannt», sagt Haupert.

Noch besser sei lediglich das ChipTAN- oder SmartTAN-Verfahren, bei dem der Kunde einen sogenannten TAN-Calculator, also eine Art kleinen Taschenrechner benutzt. In diesen wird die EC-Karte eingeschoben, erst dann wird die Nummer für die entsprechende Überweisung erstellt. Wer eine Überweisung von einem fremden Konto tätigen möchte, bräuchte also nicht nur die Zugangsdaten fürs Online-Banking und einen solchen TAN-Rechner, sondern auch noch die Karte des Kunden. «Dieses Verfahren ist praktisch nicht zu knacken, das wäre schon ein sehr spezieller Angriff», sagt Haupert.

Kluge Kunden setzen auf zwei Faktoren

Viele Bankkunden fänden es allerdings lästig, dass sie noch ein zusätzliches Gerät, in diesem Fall einen kleinen Rechner, bräuchten. Um dem Wunsch nach Bequemlichkeit entgegenzukommen, böten verschiedene Banken jetzt Apps an, mit denen sich die TANs generieren lassen – gleich auf dem Handy, auf dem die Kunden mit einer anderen App ihre Bankgeschäfte tätigen. Und genau da liegt laut Haupert das Problem.

«Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen», sagt der Forscher, «denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist.» Das heisst: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Online-Banking-Account haben oder Zugriff auf das Handy. Es könnte also böse ausgehen, wenn sie durch den Angriff eines Geräts gleich an alle wichtigen Daten kämen – wie beim Push-TAN-Verfahren, bei dem Kriminelle nur das Handy übernehmen müssen.

Doch auch dieses Verfahren lässt sich sicherer gestalten, sagt Haupert: «Wenn man die beiden Apps auf verschiedenen Geräten installiert hat und jeweils nur dort nutzt – also beispielsweise die Online-Banking-App immer nur auf dem Notebook und die pushTAN-App immer nur auf dem Tablet – dann wird es wieder zu einem echten Zwei-Faktor-Verfahren, bei dem Angreifer zwei Geräte übernehmen müssen.»

Der Vortrag «(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking» ist ab 16.45 Uhr im Livestream des Chaos Computer Clubs zu sehen.

Sieben eindrückliche Hacker-Attacken

Dieser unverschämt witzige Fake-Kundendienst auf Facebook treibt Kunden (immer noch) zur Weissglut

So machst du dein Facebook-Profil in 5 Minuten sicher

32 fiese Facebook-Fails, bei denen man nur hoffen kann, dass sie nicht echt sind

Dieser unverschämt witzige Fake-Kundendienst auf Facebook treibt Kunden zur Weissglut

Bitte, bitte lass diese 21 Facebook-Nachrichten Fake sein

Jetzt kann man Facebook nach 2 Billionen alten Posts durchsuchen: Diese 25 Facebook-Fails wären besser in der Versenkung geblieben

Die besten Facebook-Fails, bei denen man sehnlichst hofft, dass sie nicht echt sind

Dieser unverschämt witzige Fake-Kundendienst auf Facebook treibt Kunden zur Weissglut

Bald kann man Facebook nach alten Posts durchsuchen: Diese 27 Statusmeldungen wären besser in der Versenkung geblieben

Alle Artikel anzeigen
Abonniere unseren NewsletterNewsletter-Abo
10
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
10Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Silas89 29.12.2015 12:36
    Highlight Ich weiss schon, weshalb ich nach wie vor eine Karte mit Nummern habe. Die ist aus Karton, die kann man nicht hacken.
    2 11 Melden
  • Tom Foolish 29.12.2015 09:42
    Highlight Mein E-Banking ist so sicher wie der Tod. Hackt euch rein! Los. Bin froh wenn einer mir das Minus ausgleicht!
    14 0 Melden
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 29.12.2015 00:24
    Highlight Die Frage die mich interessiert ist nicht wie sicher etwas ist, sondern wer im Schadensfall haftet. Beispiel Kreditkarte: ich kann eine Visa 10s anschaune und danach im Internet Pronos damit kucken. Nicht sicher, aber egal der Herausgeber haftet.
    1 8 Melden
  • Gelöschter Benutzer 28.12.2015 23:03
    Highlight Migrosbank hat so ein Zwei Faktoren System. Wenn auf der App von Smartphone, Tablet, Windows oder Mac eine Transaction getätigt wird muss diese auf einem 2ten Gerät bestätigt werden. Ein zusätzliches Gerät kann nur mit einem Aktivierungs Code aktiviert werden der wiederum auf einem zweiten Gerät bestätigt werden muss. Migrosbank setzt schon seit Jahren kein TAN mehr ein.
    5 0 Melden
  • evand 28.12.2015 21:10
    Highlight Was ist mit touchID?
    1 0 Melden
    • Gelöschter Benutzer 28.12.2015 23:04
      Highlight TouchID ist nichts anderes als ein Ersatz für ein Passwort. nichts mehr und bietet in Sachen Ebanking kein zusätzlicher Schutz.
      5 0 Melden
  • The_Doctor 28.12.2015 17:56
    Highlight Wie sieht es im Vergleich mit der MobileID der Swisscom aus? Die halte ich für einiges sicherer als alle hier beschriebenen Varianten (ausser das gelbe Kästli). Ist ja keine App, ist verschlüsselt und passwortgeschützt. Kann hier jemand Auskunft geben?
    10 1 Melden
    • ben_fliggo 28.12.2015 18:25
      Highlight Würde mich auch wundernehmen. Auskunft am Besten von einem echten Experten, evtl. könnte da Watson nachfragen.
      9 0 Melden
    • Madison Pierce 28.12.2015 18:51
      Highlight Mobile ID ist aber nur für den Login, wenn ich es richtig verstanden habe. Kontrolliert jemand Dein Handy, kann er bei Zahlungen Betrag und Empfänger ändern, ohne dass Du es merkst.

      Wirkliche Sicherheit benötigt zwei unabhängige Geräte, wovon eines davon im Idealfall ohne Internetzugang ist. Also altes Handy (ohne SIM und WLAN) mit PhotoTAN drauf beispielsweise. Im Farbcode sind Empfänger und Betrag enthalten, signiert von der Bank. Die App liest das aus und zeigt es an. So sieht man, für was man den Freigabecode eingibt. Finde das eine gute Mischung aus Sicherheit und Komfort.
      4 3 Melden
    • Gelöschter Benutzer 28.12.2015 23:05
      Highlight https://www.cnlab.ch/sites/all/themes/cnlab/publications/security/Sichere%20Authentisierung%20im%20e-Banking.pdf sollte die Antworten liefern.
      0 0 Melden

Teslas E-Brummi ist vielleicht sexy, aber wir Schweizer bauen schon lange E-Lastwagen

Elon Musk hat seinen ersten Elektro-Lkw präsentiert. Die Innerschweizer Firma E-Force One baut schon seit 2013 E-Lastwagen – spezifisch für den Schweizer Markt.

Tesla-Chef Elon Musk hat in der Nacht auf Freitag einen strombetriebenen Sattelschlepper vorgestellt. Er soll auch mit voller Ladung von 40 Tonnen eine Reichweite von rund 800 Kilometern haben. Die Produktion werde im Jahr 2019 starten.

Musks E-Brummi ist sexy und die bislang bekannten technischen Daten sind beeindruckend. Aber wer Tesla kennt, weiss, dass es auch mal ein paar Jährchen länger dauern kann, bis den vollmundigen Ankündigungen Taten folgen. In der Innerschweiz ist man Musk …

Artikel lesen