Sparkasse verteidigt ihr pushTan-Banking

Von Ralf Keuper

In der vergangenen Woche sorgte die Meldung, dass es einigen Forschern gelungen war, das App-basierte TAN-Verfahren der Sparkasse zu knacken, wie in Forscher demontieren App-TANs der Sparkasse

Die Forscher der Uni Erlangen kritisieren u.a. die Abkehr der Sparkassen von der als besonders sicher geltenden Zwei-Faktor-Authentifizierung. Das mTan-Verfahren ist zwar von der Bedienung her einfacher, allerdings für den Preis geringerer Sicherheit, so die Forscher. 

Der entscheidende Nachteil dieser komfortablen App-TANs: Der komplette Vorgang einer Online-Banking-Transaktion findet auf einem einzigen Gerät statt. Somit genügt es auch, in dieses eine Gerät einen Trojaner einzuschleusen, um betrügerische Transaktionen durchzuführen. Dass diese Gefahr keineswegs nur theoretisch ist, belegen Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz mit einer Demonstration

Angriffe, wie die von den Forschern simulierten, sind zwar keinesfalls leicht durchzuführen, dürften für „Profis“ aber kein unlösbares Problem sein: 

Solche Angriffe sind nicht trivial. Man benötigt unter anderem einen speziellen Root-Exploit gegen die auf dem Smartphone eingesetzte Android-Version. Außerdem muss man die Apps analysieren und ihre Funktionsweise verstehen. Zwei bis drei Wochen benötigten die Forscher für diese Analysen. Doch „professionelle Online-Banking-Betrüger könnten das durchaus auch schaffen“, erklärten Haupert und Müller gegenüber heise Security.

Inzwischen hat die Sparkasse ihr Verfahren gegenüber der vorgebrachten Kritik verteidigt, wie es in Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking heisst.

Die von den Forschern durchgeführten Angriffe hätten nur veraltete Versionen des S-pushTAN-App-Verfahrens betroffen. Mit der neuen Version 1.05 habe sich die Erkennnng von gerooteten Geräten geändert. Dieses Szenario hatten jedoch bereits die Forscher berücksichtigt. 

Allerdings stellen die beiden auch klar, dass der Anwender selbst damit keineswegs auf der sicheren Seite ist. Denn das Handy muss keineswegs gerootet sein, damit der demonstrierte Angriff möglich ist. Es genügt vollkommen, wenn die verwendete Betriebssystem-Version oder eine der Apps eine Sicherheitslücke aufweist, über die sich eine Malware-App die benötigten Root-Rechte verschaffen kann. Laut einer aktuellen Studie der Uni Cambridge weisen rund 88 Prozent aller Android-Systeme solche Sicherheitslücken auf. Um einen ähnlichen Angriff wirklich zu verhindern, müsste die Sparkasse folglich einen Großteil der potenziellen Nutzer aussperren.

Die Kritik der Forscher, so Jürgen Schmidt auf heise security, habe daher weiter Bestand. Dennoch beharrt die Sparkasse darauf, dass die Sicherung des pushTAN-Verfahrens im Rahmen der kontinuierlichen Weiterentwicklung sichergestellt sei, was wiederum im Umkehrschluss eigentlich eine gute Nachricht für die Anwender ist, die sich auf die Sicherheit des Verfahrens fortan verlassen können, wie heise security etwas süffisant anmerkt. Oder wie war das sonst gemeint?

Das Thema wird auch auf heise kontrovers diskutiert. Hier einige Beispiele: 

Das Thema mTAN-Hacks – allgemein betrachtet – war auch Gegenstand eines informativen c’t-Podcasts in der vergangenen Woche.

Crosspost vom DAE-Blog

Dieser Beitrag wurde unter Regionalbanken abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.