2-stufige Verifizierungverfahren sowie Banking-Apps nicht sicher!

2-stufige Verifizierungverfahren sowie Banking-Apps nicht sicher! Viele Banken-Apps für mobiles Online-Banking weisen Sicherheitslücken auf!   Ralf Schmitz, Ethical-Hacker, der sich seit über 20 Jahren mit der Sicherheit befasst und regelmäßig Vorträge in Deutschland hält, hat es selbst getestet.

Ralf Schmitz Ethical Hacker
Ralf Schmitz bei Vorträge Internetsicherheit , Webinare, Medienkompetenzkurse

Online-Banking auf dem Smartphone heute noch sicher?

Nicht sicher: 31 Apps für das Online-Banking haben folgenschwere Sicherheitslücken, darunter Programme der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Durch einen Hacking-Angriff ist es deutschen Informatikern gelungen, die Sicherheitssoftware dieser Apps auszuschalten und so Transaktionsvorgänge zu manipulieren.

Mobiles Banking nicht sicher!

Im Zeitalter der Smartphones und Tablets nutzen immer mehr Menschen die Möglichkeit, auch ihre Bankgeschäfte online und mobil zu erledigen. Dafür bieten die meisten Banken inzwischen spezielle Apps an, die das Online-Banking einfach und sicher machen sollen. Aber jede Banken-App heißt anders im Play Store und da geht das Verwirrspiel schon los. Wenn man die falsche App runtergeladen hat, kann in dieser bereits Schadsoftware enthalten sein. Jede Marketingabteilung der Banken kocht Ihre eigene Suppe. Einheitliche Standards oder App-Bezeichnungen – Fehlanzeige. Gerade wenn ein Kunde mehrere Bankinstitute zu verwalten hat, ist das Verwirrspiel groß. Wenn der Bankkunde es geschafft hat, die richtige Banken-App herunterzuladen, wird diese App mit einer zweiten Anwendung kombiniert, der TAN-App. Diese fordert verschlüsselt die Transaktionsnummer (TAN) von der Bank an und gibt diese dann an die Banking-App weiter.

2-stufige Verifizierungverfahren sowie Banking-Apps nicht sicher!

Die Universität Erlangen-Nürnberg hat vor Jahren bereits darauf hingewiesen, dass gerade diese Methode erhebliche Sicherheitslücken aufweist. Die Universität hat ein Programm geschrieben, das die Sicherungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktiviert, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank.

„Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken“, erklärt Herr Schneider von der Universität. Kriminellen Hackern wäre es dadurch möglich, Überweisungen so zu manipulieren, dass das Geld unbemerkt auf eigene Konten umgeleitet wird. Auch die Verschlüsselung sensibler Kundendaten lasse sich außer Kraft setzen. Obwohl sie den Angriff zunächst nur für das Betriebssystem Android simuliert haben, sei er auch auf iOS-Geräten möglich.

Ralf Schmitz ist davon überzeugt, dass die Angriffe weiter zunehmen werden. Leider hat auch die Zwei-Faktor-Authentifizierung, die nicht nur in der Bankenwelt eingeführt wurde, einige Nachteile. Bei den sozialen Netzwerken (Facebook, Instagram, usw.), in WordPress oder beim Internetshoppen findet man dieses 2-stufige Authentifizierungsverfahren, was auch Sicherheitslücken aufweist. 

Einige Nachteile der Zwei-Faktor-Authentifizierung möchte ich hier aufführen. Bei der Anmeldung an einem neuen Gerät müssen Sie Ihr Smartphone, beziehungsweise die ausgedruckte Liste mit den Codes immer griffbereit haben. Um beispielsweise im Funkloch nicht dumm dazustehen, weil Sie keine SMS mit dem Sicherheitscode empfangen können, oder nach dem Diebstahl des Smartphones ohne die Code-Erstellungs-App keinen Zugriff mehr auf Ihre Konten zu haben, empfehlen wir, stets wenigstens eine Alternative bei der Einrichtung anzugeben.

Manche Banken bieten jedoch leider keine Alternative an. Ist das Handy mit der App verloren oder gestohlen, können Sie dann einfach eine Code-SMS an Ihr Zweit-Handy oder das Handy Ihres Partners anfordern. Nicht mehr lustig wird es dann, wenn man das gestohlene Gerät bei der Bank löschen will und diese dann nach einem PhotoTAN fragt, wie beispielsweise bei der Comdirect Bank. Bei der Sparda Bank kann man sich nur für ein Verfahren im Konto festlegen, was auch wieder Probleme bereitet.

Wo bitteschön soll man bei einem gestohlenen Handy noch einen PhotoTAN aktivieren, um das registrierte Gerät zu löschen? Da merkt man wie schlecht Bankhäuser auf den Ernstfall vorbereit sind und wie mangelhaft Seiten programmiert werden. Der Kunde steht dann erst mal im Dunkeln und kann das gestohlene Handy noch nicht mal löschen. Manche Anwendungen kommen außerdem nicht mit den sechsstelligen Sicherheitscodes zurecht – etwa Thunderbird oder ältere Android-Phones. Bei der DKB Bank werden ältere Smartphones gar nicht mehr akzeptiert. Die Bank zwingt den Kunden sich ein aktuelles Handy, was ein paar hundert Euro heute kostet zu kaufen, um Bankgeschäfte zu tätigen.

Sollte Ihnen der Aufwand nach einiger Zeit doch zu viel werden – mir persönlich ist er zu viel geworden – lässt sich die Zwei-Faktor-Authentifizierung auch wieder deaktivieren aber aufpassen, da lauern einige Falltricks. Bei der Sparda Bank kann man noch nicht mal im eingeloggten Bereich, dem Kundenberater eine Nachricht schicken, wenn man keinen TAN hat und wie soll das gehen wenn das Gerät gestohlen wurde?

Gute Hacker tricksen pushTAN-App der Sparkasse aus!

Das Problem ist ein grundsätzliches: Es ist wenig ratsam, die Erstellung der Transaktionsnummern (TAN) und das Onlinebanking auf demselben Gerät vorzunehmen. Zwei Apps klingen zwar nach zweifach abgesicherter Authentifizierung, aber es ist keine. Ist das Smartphone kompromittiert, hat ein Angreifer möglicherweise Zugriff auf beide Apps und damit volle Kontrolle über das Konto.

2-stufige Verifizierung-Verfahren nicht sicher bei Banking-Apps!
2-stufige Verifizierung-Verfahren nicht sicher bei Banking-Apps!

Die Forscher von der Universität Erlangen haben das Mobile-Banking-Verfahren nämlich gehackt. Zwei Mal. Genauer gesagt haben sie die pushTAN-App der Sparkassen gehackt, die zusammen mit der normalen Sparkassen-App das mobile Banking auf einem einzigen Gerät ermöglicht. Überweisungen können so verändert werden.

Der Deutsche Sparkassen- und Giroverband hat abgewiegelt, der Angriff sei nur bei veralteten Versionen der App möglich.

Auf dem 32. Chaos Communication Congress (32C3) in Hamburg wurde aber gezeigt, dass er auch die bis heute aktuelle Version der App austricksen kann, mit etwas mehr Aufwand. Wie er das im Einzelnen macht, können sich technisch Versierte hier anschauen. Vereinfacht gesagt, deaktiviert er die Schutzmechanismen der pushTAN-App, die von einem Modul der Firma Promon bereitgestellt werden. Dann verändert er Summe und Empfänger einer Überweisung auf dem Smartphone des Opfers, zeigt diesem aber vor der TAN-Eingabe wieder die ursprünglichen Daten.

Sicherheits-Software als Angriffspunkt

Angriffspunkt dieses Hackings ist eine Sicherheitssoftware, die weltweit von zahlreichen Finanzdienstleistern eingesetzt wird: das sogenannte Promon SHIELD. Diese Software soll das Banking auf kompromittierten Geräten verhindern und interagiert dafür mit der TAN-App. Wird diese manipuliert, sperrt Promon sämtliche Transaktionsvorgänge. Umgekehrt funktioniert die TAN-App nicht, wenn die Sicherheitssoftware nicht installiert ist.

Doch es gibt Tricks, das Promon SHIELD nach detaillierter Analyse abzuschalten. Zwar sei die Deaktivierung der Sicherheitsmechanismen nicht einfach und langwierig, aber für versierte Hacker durchaus machbar. Es gelingt dadurch unter anderem, TAN-Nummern an beliebige Geräte zu versenden und Überweisungen umzuleiten.

Das 2-stufige Verifizierungverfahren sowie Banking-Apps nicht sicher!

Risiko durch Banking und TAN-Apps

Nach Ansicht der Nürnberger Informatiker ist jedoch grundsätzlich der Betrieb von sowohl der Banking-App als auch der TAN-App auf nur einem Gerät nicht sicher. In den vergangenen Jahren haben die Forscher bereits mehrfach erfolgreich verschiedene PushTAN- und PhotoTAN-Verfahren so manipuliert, dass Buchungen mit veränderten Beträgen auf fremde Konten umgeleitet werden konnten, ohne dass dies für den Nutzer sichtbar war.

„Die Banken haben leider diese Angriffe meist als akademisches Laborexperiment abgetan“, weiß Ralf Schmitz zu berichten. „Erst müssen richtig viele Angriffe in den Rechenzentren verzeichnet werden, bis eine Bank mal reagiert.“

Gerede war es wieder aktuell die DKB Bank hatte große Angriffe zu verzeichnen.

Der Verzicht auf die sogenannte Zwei-Faktor-Authentifizierung, ist eine konzeptionelle Schwäche des mobilen Bankings. Daran werden auch die ausgefeiltesten Sicherheitsprogramme nichts ändern.

Menschen, die nicht auf das mobile Banking verzichten wollen, rät Ralf Schmitz zur Nutzung eines TAN-Generators wie beim ChipTAN-Verfahren oder genug Bargeld bei sich zu haben und wenn möglich persönlich den Betrag wieder zu begleichen. 

Ralf Schmitz hält deutschlandweite Vorträge nicht nur in der Finanzwirtschaft und Versicherungskonzern, sondern auch bei Energieversorgern und in Schulen.