Knapp die Hälfte aller Deutschen nutzt Online-Banking. Kein Wunder, die Technik hat viele Vorteile: Man muss nicht mehr für jede einzelne Überweisung zur Bank rennen und der Kontostand kann auch bequem vom Sofa aus kontrolliert werden. Allerdings verweigert ein Drittel der Deutschen konsequent die Technologie, wie eine Untersuchung von Statista zeigt - vor allem wegen massiver Sicherheitsbedenken. Nicht zu Unrecht: Immer wieder gelingt es Betrügern, die vermeintlich sicheren Verfahren auszuhebeln. Auf dem Hackerkongress 32C3 in Hamburg wurden nun neue Schwachstellen enttarnt.
pushTAN nicht sicher
Der IT-Experte Vincent Haupert demonstrierte auf der Bühne, dass er das pushTAN-Verfahren der Sparkasse knacken konnte. Besonders brisant: Haupert konnte das pushTAN-Verfahren bereits zum zweiten Mal umgehen. Im Oktober erklärte die Sparkasse nach dem ersten Hack, das dieser nur mit einer veralteten App möglich sei. Jetzt bewies der 26-jährige Informatikstudent das Gegenteil, indem er sich die aktuellste Version vorknöpfte.
Beim pushTAN-Verfahren können Nutzer ihre kompletten Bankgeschäfte auf dem Smartphone erledigen. Dazu sind zwei Apps notwendig: eine für das Online-Banking und eine für das Generieren der TAN, mit der etwa ein Überweisungsvorgang legitimiert wird. Eine separate TAN-Liste ist nicht notwendig. Das pushTAN-Verfahren ist bequem, da aber alle Vorgänge auf einem Gerät ablaufen, ist das Verfahren nicht komplett sicher. Das Problem liegt nicht in der App der Sparkasse selbst, sondern im ganzen System.
Sparkasse beschwichtigt
Die Sparkasse hat bereits auf die jüngsten Enthüllungen reagiert: "Die aufgezeigten Angriffsmöglichkeiten bezogen sich auf das Zusammenspiel aktueller Versionen der Sparkassen-Apps und der pushTAN-App der Sparkassen-Finanzgruppe bei gemeinsamer Nutzung auf einem korrumpierten ("gerooteten") Android-Gerät. Die Apps für Apple iOS-Geräte sind von diesen Angriffsmöglichkeiten nicht betroffen", schreibt die Sparkasse auf ihrem Blog. Und weiter: "Die dargestellte Vorgehensweise weist eine hohe Komplexität auf. Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich." Dennoch: Wenn das Verfahren innerhalb von drei Monaten zweimal ausgehebelt wurde - und sei es nur unter Laborbedingungen -, wird das Vertrauen in diese Technik sicherlich nicht steigen.
Haupert empfiehlt daher das mTAN-Verfahren. Allerdings konnten Betrüger auch diese Methode umgehen und Millionenschäden anrichten - wie die Kriminellen vorgingen, erklären wir hier.
Bezahlterminals geknackt
In einem anderen Vortrag demonstrierten die Sicherheitsexperten Karsten Nohl und Fabian Bräunlein einige Schwachstellen, die fast alle Bezahlterminals in Deutschland betreffen. Die Geräte kommen sowohl in Hotels, Tankstellen als auch in vielen Einzelhandelsgeschäften zum Einsatz.
Durch die Ausnutzung der Sicherheitslücken war es Nohl und Bräunlein etwa möglich, die PIN nach der Eingabe auszulesen oder Terminals so zu manipulieren, dass Geld auf ein anderes Konto überwiesen werden konnte. Beide Protokolle, die für die Übertragung der Daten zwischen Kartenterminal, Kassensystem und dem Finanzdienstleister zuständig sind, seien unsicher und könnten von Angreifern überlistet werden. Deshalb riefen die Experten den Einzelhandel und die Kreditwirtschaft auf, Konsequenzen aus den neuesten Erkenntnissen zu ziehen.
