Zahlungsverkehr: Sicherheitsleck im Mobile-Banking

Smartphone-Banking-Apps einer Großzahl deutscher Banken lassen sich völlig unbemerkbar manipulieren. Betroffen sind Angebote vieler großer Finanzhäuser. Die Lücke ist noch nicht geschlossen.

Vincent Haupert arbeitet als IT-Sicherheitsexperte an der Universität Erlangen. Zusammen mit seinem Kollegen Nicolas Schneider ist es ihm gelungen, mit einem einfachen Algorithmus, die Kontrolle über 31 Smartphone-Banking-Apps zu erlangen und diese so zu manipulieren, dass Überweisungen unbemerkt auf ein von ihnen ausgewähltes Konto gelenkt wurden, ohne dass die App-Anwender davon Notiz nehmen konnten. Kunden sei nach Angaben der betroffenen Banken bisher kein Schaden entstanden.

Betroffen sind alle Banking-Apps, die das Software (IOB: 0NJS.IL - Nachrichten) -Sicherheitskonzeptes „Shield“ der norwegischen Firma Promo nutzen. „Shield“ erlaubt Überweisungen ohne ein zusätzliches Gerät auszuführen, indem die TAN - der zur Verifikation nötige Sicherheitscode - auf dem Handy generiert wird. Genau damit werde das Smartphone den beiden IT-Experten zufolge anfällig für Angriffe.

Anwender bekommen vom externen Zugriff nichts mit

Die beiden Informatiker waren in der Lage, mit dem Werkzeug „Nomorp“, die auf dem Smartphone ausgeführte App komplett zu übernehmen. Die Anwender selbst merkten nichts von der Manipulation. „Nomorp“ gaukelte der App vor, eine Überweisung auf das vom Anwender eingegebene Konto auszuführen, während es im Hintergrund die Überweisung auf das Konto des Angreifers durchführte. Die Steuerung lag dabei ganz in den Händen der beiden Informatiker. Manipuliert werden konnten u.a. die Apps der Commerzbank (Xetra: CBK100 - Nachrichten) , Stadtsparkassen, Volksbanken und der Comdirekt. Alle Banken haben mittlerweile via Update auf die Sicherheitslücke reagiert. Ein Angriff sei derzeit nicht mehr ohne weiteres mit „Nomorp“ möglich.

Bequemlichkeit und blindes Vertrauen kosten Sicherheit

Von einer Schuld der Verbraucher möchte Haupert nicht sprechen. Zwar sei klar, dass die Verbraucher es möglichst bequem haben wollten und sich in Sicherheitsaspekten auf den Rat ihrer Bank verließen. Aber vielfach bliebe ihnen auch nichts anderes übrig als blind zu vertrauen. Gleichermaßen beruhten die Einschätzungen der Banken bezüglich des Sicherheitsrisikos der von ihnen angebotenen Software auf Versicherungen der Softwarehersteller. Aus der Verantwortung nehmen will Haupert die Institute aber nicht. Sie verfügten über hohe Expertise, die Angreifbarkeit sei ihnen durchaus bewusst gewesen. Die IT-Sicherheit sei der einfachen Anwendung der Apps nachgeordnet worden, vermutet Haupert.

Ein weiteres gravierendes Problem sieht er in den Betriebssystemen der Smartphones. Selbst wenn die Verbraucher alle Sicherheitsupdates regelmäßig einspielten, wäre die Halbwertzeit besonders von Android-Systemen stark eingeschränkt „und bereits nach kürzester Zeit“, bemängelt Haupert, „werden keine Sicherheitsupdates mehr angeboten“.

Nach Angaben des Informationsdienstes Statista nutzen derzeit gut 47 % der Deutschen Mobile-Banking-Angebote ihrer Finanzinstitute. Weitere 17 % planen, in diesem Jahr via App ihre Bankgeschäfte zu verfolgen.

Blau: ja - Dunkelblau: nein, aber voraussichtlich in den nächsten 12 Monaten - Grau: Nein, auch nicht beabsichtigt
(Quelle: Statista 2018)

Risiko war lange bekannt

Die Bafin hat im Zuge des Aufkommens der neuen Technologie bereits vor gut zwei Jahren auf die potenziellen Sicherheitslücken im TAN-Banking-Verfahren hingewiesen. „Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet“, so Dr. Josef Kokert von der Bundesanstalt. Er rät dazu, unbedingt eine Zwei-Faktor-Authentifizierung zu verwenden. Im Interview mit Netzpolitik sprach sich auch Haupert für diese Lösung aus: „Wer auf Nummer Sicher gehen will, verlässt sich auch unterwegs bei Bankgeschäften auf den TAN-Generator“, so der IT-Experte.

(DW)