Samstag, 16. Dezember 2017

Alle Artikel und Hintergründe

Zahlung per Smartphone 31 Mobile-Banking-Apps von Sicherheitslücken betroffen

Überweisung per Smartphone

Mit dem Smartphone lässt sich schnell und bequem Geld überweisen. Der Komfort geht allerdings oft zu Lasten der Sicherheit: IT-Experten konnten bei 31 Banking-Apps Zahlungen manipulieren.

Immer mehr Kunden wickeln ihre Bankgeschäfte online ab. Doch die bequeme Art, das Konto am Smartphone zu führen, birgt Risiken: Die Sicherheitsforscher Vincent Haupert und Nicolas Schneider haben jetzt bei insgesamt 31 Online-Banking-Apps Sicherheitslücken gefunden. Doch eigentlich handelt es sich um ein strukturelles Problem.

Die Sicherheitslecks betreffen Apps der Commerzbank, der Stadtsparkassen, von Comdirect und der Fidor-Bank. Haupert, der schon Schwachstellen im Sicherheitssystem des Finanz-Startups N26 aufgedeckt hat, demonstrierte gegenüber der "Süddeutschen Zeitung" gemeinsam mit Schneider gleich mehrere mögliche Angriffe.

So sei es möglich, die Apps unerlaubt auszuführen und zu kopieren sowie die Iban-Nummern in Überweisungen zu ändern. Außerdem konnten die IT-Experten die Transaktionsnummern (Tan) auf andere Geräte versenden. Die Tan dient als einmalig einsetzbares Kennwort, um Überweisungen zu authentifizieren.

"Konzeptionelles Problem"

Die Daten würden zunächst an Rechner geschickt, die von den Sicherheitsforschern kontrolliert werden. So seien sie in der Lage, beispielsweise bei Überweisungen neue Iban-Nummern einzugeben. Auf der App würde weiterhin die ursprüngliche Nummer angezeigt. So würde der Nutzer nichts von der umgeleiteten Transaktion bemerken.

Die Ausnutzung dieser Sicherheitslücke sei allerdings nur möglich, wenn Banking-App und Tan-App auf demselben Smartphone genutzt werden. Dies sei ein konzeptionelles Problem, sagte Haupert gegenüber der "Süddeutschen". Solange man zulasse, Banking über ein Gerät abzuwickeln und abzusegnen, sei das Verfahren unsicher.

Der Verband Deutsche Kreditwirtschaft kündigte inzwischen an, dass mehrere Anwendungen in Kürze aktualisiert würden. Die Deutsche Kreditwirtschaft teilte mit, man halte "die Sicherheit der von den Banken und Sparkassen angebotenen Apps weiterhin für gewährleistet".

Der Verband und die Anbieter der Apps stünden mit den Forschern aber in direktem Dialog, um die Schwachstellen besser einschätzen und Abhilfe einleiten zu können. "Eine Reihe von Banking-Apps wird daher bereits in den nächsten Tagen in neuen Versionen bereitgestellt." Bisher seien aber noch keine Angriffe und Schadensfälle in der Praxis bekanntgeworden.

Seite 1 von 3

© manager magazin 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH