IT-Recht

Das push – TAN – Verfahren der Sparkasse weist große Sicherheitslücken auf

Zwei Wissenschaftler der Universität Erlangen-Nürnberg wollten auf die Sicherheitslücken in der push – TAN – App der Sparkasse aufmerksam machen und haben erneut vor der Nutzung dieser App gewarnt. Dieses Ergebnis stellten sie nun auf dem Chaos Communication Congress in Hamburg vor.

 Das push - TAN - Verfahren der Sparkasse weist große Sicherheitslücken auf ©-Erwin-Wodicka-Fotolia

Das push – TAN – Verfahren der Sparkasse weist große Sicherheitslücken auf ©-Erwin-Wodicka-Fotolia

Den Wissenschaftlern ist der Nachweis gelungen, dass die push-Tan-App der Sparkasse nach wie vor angreifbar ist. Bereits im November deckten die beiden Wissenschaftler die Lücken der App auf und manipulierten diese. Im Detail haben sie eine Transaktionssumme von 0,10 Cent auf 13,37 € erhöht  und auch den Empfänger der Überweisung beliebig wählen können, ohne dass dies für das Opfer erkennbar gewesen sei.

Die neuesten Versionen der App sind ebenfalls leicht zu manipulieren

Die Sparkasse verteidigte sich daraufhin mit dem Einwand, dass lediglich die veraltete Version der App angreifbar gewesen sei und die Sicherheitslücken mittlerweile vollständig geschlossen worden seien. Die beiden Wissenschaftler erklärten auf dem Kongress nun, dass auch die neueste Version der App mit etwas Mehraufwand leicht zu manipulieren sei. Die neueste Sicherheitslösung, die eine Genehmigung vor der Benutzung verlangt, könnte leicht umgangen werden, indem man die entsprechenden Dateien einfach umbenennt. Im Anschluss seien die Dateien wieder problemlos zu hacken. Diese Sicherheitslücken sind darauf zurückzuführen, dass das gesamte push-TAN-Verfahren über eine einzige Hardware läuft.

Das Verfahren darf nicht über ein einziges Gerät erfolgen

Ein System, das lediglich über eine Hardware läuft, ist zu anfällig. Die Verbraucher können direkt über ihr Smartphone eine Überweisung tätigen ohne dass ein weiteres Gerät für die Erstellung der TAN erforderlich ist. Der App gelingt es jedoch nicht die nötigen Sicherheitsvorkehrungen zu treffen, da Hacker die App zu Ihren Gunsten verändern können. Es gelingt den Betrügern einen anderen Betrag auf ein von ihnen gewähltes Konto zu überweisen, ohne dass dieser Vorgang rückgängig gemacht werden kann. Die beiden Wissenschaftler raten daher davon ab, für das Online-Banking und die TAN-Zulieferung dasselbe Gerät, wie beispielsweise ein Smartphone, zu nutzen. Es sei zu riskant, da ein mit Malware infiziertes Gerät kein sicheres Online Banking mehr garantieren könne. Für einen Betrüger ist es sehr einfach ein Smartphone zu manipulieren. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen. Eine erneute Manipulation sei daher bei dieser Vorgehensweise jederzeit auch bei der neuesten Version der App problemlos möglich. Die sicherste Variante sei die Nutzung eines zweiten Geräts  für den TAN- Empfang.

TAN –  Generator die sicherste Variante für Überweisungen

Dies könne beispielsweise über einen TAN – Generator erfolgen. Ein TAN – Generator ist ein eigenständiges Gerät, welches keinen Netzwerkzugang besitzt und in das man die EC-Karte einsteckt. Im Anschluss erhält man eine TAN – Nummer zugesandt, die man wiederum per Flicker-Code auf den Bildschirm transferiert. Diese Vorgehensweise ist die sicherste Variante, da der TAN-Empfang völlig vom Smartphone abgekoppelt ist und dementsprechend bei dem Online-Banking kein Zugriff auf das Smartphone erforderlich sei. Diese TAN-Generatoren sind bereits für 15 Euro im Handel erhältlich und stellen nach Ansicht der beiden Wissenschaftler die einzige sichere Variante dar.

Bislang keine Schäden bei Kunden entstanden

Auf diese Veröffentlichung hin verteidigte die Sparkasse ihr Angebot in einer Stellungnahme. Das Verfahren werde stets weiterentwickelt und weise bereits jetzt eine hohe Sicherheit auf. Dies werde dadurch dokumentiert, dass bislang keine bekannten Schäden für Kunden eingetreten seien. Den von den Wissenschaftlern aufgedeckten Sicherheitslücken seien unfassbar komplexe Verfahren vorausgegangen, sodass nur im Labor solche Tests durchgeführt werden können. Der Aufwand für Betrüger sei daher unverhältnismäßig hoch. (NuK)

Sicher ist das folgende Video interessant:

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×