PhotoTAN von Deutsche Bandk und Co. nicht sicher

Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen-Nürnberg haben mehrere Sicherheitslücken in den Banking-Apps der Deutschen Bank, der Commerzbank und der Norisbank entdeckt. Wie aus einem Forschungsbericht der Technischen Fakultät der Uni hervorgeht, konnten die Experten Vincent Haupert und Tilo Müller Transaktionen manipulieren.

Den Forschern zufolge gelang es ihnen, für die Apps von Commerzbank- und comdirect die photoTAN zu kopieren und zu manipulieren. Auf diese Weise könnte ein Hacker eine Überweisung zu einem späteren, von ihm gewählten Zeitpunkt tätigen. Dem Kontoinhaber bleibt der Angriff verborgen. Ihm fallen erst dann Unregelmäßigkeiten auf, wenn er einen Blick auf den Kontostand wirft.

Beispiel für eine der beim photoTAN-Verfahren genutzen Grafiken

Beispiel für eine der beim photoTAN-Verfahren genutzen Grafiken (Bild: Cronto Ltd.)

Haupert und Müller haben ihren Angriff auf der Website der Universität publik gemacht. Mit ihrem Versuch wollen sie aufzeigen, dass App-basierende Authentifizierungsmethoden keine adäquate Alternative zu den etablierten chipTAN-Verfahren sind; sie bieten schlicht nicht dasselbe Sicherheitsniveau.

Grund dafür ist laut der beiden Forscher, dass die neuartigen Authentifizierungs-Apps auf Mehrzweckgeräten wie Smartphones und Tablets laufen und daher auch allen Gefahren ausgesetzt sind, die diese Geräte bedrohen. Das trifft vor allem dann zu, wenn die Online-Banking-App und die Authentifizierungs-App auf demselben Gerät laufen.

Die bisherige Transaktionsnummer (TAN) wird mit dem photoTAN-Verfahren durch eine Grafik ersetzt. Diese von der Entwicklerfirma Cronto als „visuelles Kryptogramm“ bezeichnete Grafik dient zur Verschlüsselung von Auftragsdaten und TAN. Die Grafik wird mit der Kamera des Smartphones eingescannt, von der Authentifizierungs-App entschlüsselt und angezeigt. Die so für Menschen lesbar gemachten Eingaben lassen sich dann überprüfen. Außerdem kann die damit gelieferte Transaktionsnummer dann eingegeben werden.

Beim photoTAN-Verfahren findet mit einem mobilen Endgerät der gesamte Prozess auf einem Gerät statt, während beim chipTAN-Verfahren ein zweites, spezielles Gerät erforderlich ist oder andere Banken, etwa die Postbank, die TAN auf einem zweiten Kommunikationsweg (per SMS) zusenden. Die Daten werden beim photoTAN-Verfahren lediglich von App zu App weitergereicht und sind auf diesem Weg durch Malware auf dem Gerät abfangbar respektive lässt sich die Kommunikation der Apps umleiten. Die Apps interagieren dann nicht mehr mit den Servern der Bank, sondern den Servern der Angreifer.

„Sicher überweisen mit photoTAN – ohne zusätzliche Tan-Liste“ wirbt die Deutsche Bank auf ihrer Website (Screenshot: silicon.de)

„Sicher überweisen mit photoTAN – ohne zusätzliche Tan-Liste“ wirbt die Deutsche Bank auf ihrer Website (Screenshot: silicon.de)

photoTan ist ein „konzeptionelles Problem“

„Richtig angewendet sind alle Legitimationsverfahren sicher“, haben Sprecher von Deutscher Bank und Norisbank gegenüber der Süddeutschen Zeitung erklärt. Kunden würden nach eigenen Präferenzen entscheiden, welches Verfahren ihnen zusage.

Haupert und Müller begründen dem Blatt gegenüber die Veröffentlichung ihrer Forschungsergebnisse, ohne zuvor die Betroffenen zu informieren damit, dass es sich nicht um ein technisches, sondern ein konzeptionelles Problem handle. „Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten“, so Haupert.

Die Commerzbank bestreitet das: Sie wisse von dem Angriff nichts. Sie bietet auf ihrer Website aktuell noch eine Sicherheits-Garantie: „In unserem Online Banking bieten wir Ihnen mit dem photoTAN-Verfahren die größtmögliche Sicherheit. Das garantieren wir Ihnen. Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden“, so das Unternehmen.

[mit Material von Anja Schmoll-Trautmann, ZDNet. de]

Neueste Kommentare 

Noch keine Kommentare zu PhotoTAN von Deutsche Bandk und Co. nicht sicher

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *