HOME

Sicherheit: Experten knacken Photo-TAN-Verfahren beim mobilen Online-Banking

Das Photo-TAN-Verfahren ist bequem und sicher, behaupten Banken. Doch IT-Experten konnten die Online-Banking-Methode knacken.

Das Photo-TAN-Verfahren für Online-Banking wurde geknackt

Das Photo-TAN-Verfahren für Online-Banking wurde geknackt.

Zwei IT-Sicherheitsexperten haben es nach eigenen Angaben geschafft, das sogenannte Photo-TAN-Verfahren beim Online-Banking via Smartphone zu hacken. "Wenn Banking-App und Photo-TAN-App auf einem Gerät installiert sind, können wir die Transaktionen manipulieren", sagte Vincent Haupert von der Friedrich-Alexander-Universität Erlangen-Nürnberg der "Süddeutschen Zeitung" vom Dienstag. Auch sei es "überhaupt kein Problem", die ausgeführte Überweisung vor dem Bankkunden zu verstecken.

Das Photo-TAN-Verfahren wird benutzt, um im Online-Banking einen Auftrag zu bestätigen. Auf Anforderung des Kunden wird eine farbige Grafik erzeugt und zum Beispiel auf dem Computer angezeigt. Der Kunde scannt die Grafik mit seinem Smartphone und bekommt dort noch einmal die Auftragsdetails angezeigt sowie eine Nummer, die eigentliche TAN. Mit dieser gibt er dann den Auftrag frei.

Möglich ist auch, das ganze Verfahren ausschließlich auf dem Smartphone zu verwenden, ohne ein weiteres Gerät. Waren sowohl die App für das Online-Banking als auch die für das Photo-TAN-Verfahren auf einem Handy installiert, konnten Haupert und sein Kollege Tilo Müller angreifen. Voraussetzung war den Angaben zufolge außerdem, dass auf dem Gerät bereits eine mit Viren verseuchte Anwendung installiert war. Dadurch erhielten die Experten vollen Zugriff auf das Smartphone.

Haupert und Müller gelang es dem Bericht zufolge, sich zwischen das Smartphone und den Server der jeweiligen Bank zu schalten. So konnten sie zum einen die vom Kunden abgeschickten Daten manipulieren und damit andere Überweisungsdaten an die Bank übermitteln.

Zum anderen konnten sie die Photo-TAN ebenfalls verändern, so dass diese dem Kunden seine ursprünglich eingegebenen Daten anzeigte. Bei einer späteren Überprüfung des Kontostands wurde dem Kunden ebenfalls vorgegaukelt, es sei alles in Ordnung. Der Angriff gelang dem Bericht zufolge mit den Apps von drei verschiedenen Banken.

cf / DPA
Themen in diesem Artikel