Zahlung per Smartphone 31 Mobile-Banking-Apps von Sicherheitslücken betroffen

Mit dem Smartphone lässt sich schnell und bequem Geld überweisen. Der Komfort geht allerdings oft zu Lasten der Sicherheit: IT-Experten konnten bei 31 Banking-Apps Zahlungen manipulieren.
Überweisung per Smartphone

Überweisung per Smartphone

Foto: DPA

Immer mehr Kunden wickeln ihre Bankgeschäfte online ab. Doch die bequeme Art, das Konto am Smartphone zu führen, birgt Risiken: Die Sicherheitsforscher Vincent Haupert und Nicolas Schneider haben jetzt bei insgesamt 31 Online-Banking-Apps Sicherheitslücken gefunden. Doch eigentlich handelt es sich um ein strukturelles Problem.

Die Sicherheitslecks betreffen Apps der Commerzbank, der Stadtsparkassen, von Comdirect und der Fidor-Bank. Haupert, der schon Schwachstellen im Sicherheitssystem des Finanz-Startups N26 aufgedeckt  hat, demonstrierte gegenüber der "Süddeutschen Zeitung"  gemeinsam mit Schneider gleich mehrere mögliche Angriffe.

So sei es möglich, die Apps unerlaubt auszuführen und zu kopieren sowie die Iban-Nummern in Überweisungen zu ändern. Außerdem konnten die IT-Experten die Transaktionsnummern (Tan) auf andere Geräte versenden. Die Tan dient als einmalig einsetzbares Kennwort, um Überweisungen zu authentifizieren.

"Konzeptionelles Problem"

Die Daten würden zunächst an Rechner geschickt, die von den Sicherheitsforschern kontrolliert werden. So seien sie in der Lage, beispielsweise bei Überweisungen neue Iban-Nummern einzugeben. Auf der App würde weiterhin die ursprüngliche Nummer angezeigt. So würde der Nutzer nichts von der umgeleiteten Transaktion bemerken.

Die Ausnutzung dieser Sicherheitslücke sei allerdings nur möglich, wenn Banking-App und Tan-App auf demselben Smartphone genutzt werden. Dies sei ein konzeptionelles Problem, sagte Haupert gegenüber der "Süddeutschen". Solange man zulasse, Banking über ein Gerät abzuwickeln und abzusegnen, sei das Verfahren unsicher.

Der Verband Deutsche Kreditwirtschaft kündigte inzwischen an, dass mehrere Anwendungen in Kürze aktualisiert würden. Die Deutsche Kreditwirtschaft teilte mit, man halte "die Sicherheit der von den Banken und Sparkassen angebotenen Apps weiterhin für gewährleistet".

Der Verband und die Anbieter der Apps stünden mit den Forschern aber in direktem Dialog, um die Schwachstellen besser einschätzen und Abhilfe einleiten zu können. "Eine Reihe von Banking-Apps wird daher bereits in den nächsten Tagen in neuen Versionen bereitgestellt." Bisher seien aber noch keine Angriffe und Schadensfälle in der Praxis bekanntgeworden.

"Angriffsmethode automatisiert"

Von den jetzt aufgedeckten Sicherheitslücken sind laut Haupert Banking-Apps betroffen, die auf Schutzmaßnahmen des Dienstleisters Promon zurückgreifen. Die Tools des Anbieters seien im Finanzsektor sehr beliebt, sagte Haupert gegenüber manager-magazin.de. "Promon sichert unter anderem den Netzwerkverkehr ab und schafft dafür zentrale Schnittstellen", sagte er. "Wenn diese umgangen werden, kann der Verkehr einfach umgeleitet werden."

Haupert hatte schon früher Sicherheitslücken bei Banking-Apps aufgedeckt  und unter anderem das pushTAN-App Verfahren der Sparkasse geknackt . Damit lassen sich Bankgeschäfte auf einem Gerät mit zwei verschiedenen Apps ausführen, eine App wird dabei fürs Onlinebanking genutzt und eine für das Generieren der TAN. Schon damals warnte er davor, alle Transaktionen nur auf einem Gerät stattfinden zu lassen.

Die neu entdeckten Sicherheitslücken beruhen auf einem ähnlichen Prinzip. "Wir haben die Angriffsmethode automatisiert. Wenn eine neue App herauskommt, die Promon verwendet, können wir neue Schutzmaßnahmen innerhalb weniger Minuten umgehen", sagte Haupert gegenüber manager-magazin.de.

Markt für Kriminelle immer interessanter

"Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen", sagte Haupert der "Süddeutschen". Es gebe keinen richtigen Weg, sich bei Banking-Verfahren auf ein einzelnes Gerät zu verlassen. Noch sei mobiles Banking für Kriminelle zwar ein Nischenmarkt, sagte Haupert gegenüber manager-magazin.de. Doch künftig werde der Markt interessanter.

So schaffe es Schadsoftware immer wieder in die Stores und finde den Weg auf mobile Geräte. Dies betreffe vor allem Android, weil das Betriebssystem von verschiedenen Herstellern genutzt werde, die auch für Updates verantwortlich seien. Hier würden Sicherheitslücken aber oft nicht oder nur verspätet geschlossen.

"Komplexer Angriff"

Haupert räumte gegenüber der "Süddeutschen" selbst ein, dass die Sicherheitsmaßnahmen von Promon schwer zu umgehen seien. Sie auszuschalten erfordere einen komplexen Angriff. Die Forscher hatten die App schrittweise analysiert und dadurch nachvollzogen, wie die Informationen abgesichert werden.

Der Sicherheitsforscher habe bereits vor dem Zeitungsbericht im Kontakt mit Promon gestanden und über die Angriffspunkte gesprochen, sagte Haupert im Gespräch mit manager-magazin.de. "Meinem Verständnis nach werden nun neue Maßnahmen umgesetzt. Wie genau diese aussehen werden, ist uns nicht bekannt."

Haupert will auf der Hackerkonferenz des Chaos Computer Club Ende des Jahres technische Details des Angriffs präsentieren. Den Sourcecode will er jedoch nicht veröffentlichen, um Kriminellen keine Anleitung zu geben.

Mit Material von dpa
Die Wiedergabe wurde unterbrochen.