Onlinebanking allein ist nicht mehr genug, jetzt wollen die Menschen auch unterwegs ihre Bankgeschäfte abwickeln. Glauben jedenfalls die Banken, weshalb sie Apps entwickelt haben, mit denen man auch vom mobilen Gerät aus Überweisungen tätigen kann. Oder, um es mit den Worten von Vincent Haupert zu sagen: "Da haben die Banken ein Gerät entdeckt, das wir immer bei uns haben und das absolut sicher ist – das Smartphone."

Haupert hat das natürlich ironisch gemeint. Der Forscher von der Universität Erlangen hat das Mobile-Banking-Verfahren nämlich gehackt. Zwei Mal. Genauer gesagt hat er die pushTAN-App der Sparkassen gehackt, die zusammen mit der normalen Sparkassen-App das mobile Banking auf einem einzigen Gerät ermöglicht. Bereits im Oktober hatte er demonstriert, wie er Überweisungen verändern und umleiten kann, die jemand anderes mithilfe der Android-App vornimmt. Der Deutsche Sparkassen- und Giroverband hatte abgewiegelt, der Angriff sei nur bei veralteten Versionen der App möglich.

Nun legt Haupert nach: Auf dem 32. Chaos Communication Congress (32C3) in Hamburg zeigt er, dass er auch die bis heute aktuelle Version der App austricksen kann, mit etwas mehr Aufwand. Wie er das im Einzelnen macht, können sich technisch Versierte hier anschauen. Vereinfacht gesagt, deaktiviert er die Schutzmechanismen der pushTAN-App, die von einem Modul der Firma Promon bereitgestellt werden. Dann verändert er Summe und Empfänger einer Überweisung auf dem Smartphone des Opfers, zeigt diesem aber vor der TAN-Eingabe wieder die ursprünglichen Daten.

Angriff über eine manipulierte App

Damit all das auf einem fremden Gerät überhaupt möglich ist, muss das Opfer eine mit Schadcode verseuchte App installieren. Dass es nicht allzu schwierig ist, solche Apps auch an den Kontrollen von Google vorbei in den offiziellen Play Store schmuggeln, hat unter anderem ein Student der Universität Erlangen im Rahmen seiner Bachelorarbeit gezeigt.

Es ist anzunehmen, dass die Sparkassen-App sehr bald erneut ein Update bekommt, das den Angriff wiederum erschwert. "Es bleibt ein Katz-und-Maus-Spiel, das die Sparkasse am Ende immer verlieren wird", sagt Haupert.

Konzeptionelle Schwäche

Das Problem ist ein grundsätzliches: Es ist wenig ratsam, die Erstellung der Transaktionsnummern (TAN) und das Onlinebanking auf demselben Gerät vorzunehmen. Zwei Apps klingen zwar nach zweifach abgesicherter Authentifizierung, aber es ist keine. Ist das Smartphone kompromittiert, hat ein Angreifer möglicherweise Zugriff auf beide Apps und damit volle Kontrolle über das Konto. Hauperts Angriff ist übrigens nur ein proof of concept, den er an seinem eigenen Konto durchgespielt hat. Echte Kriminelle würden ihn anders vornehmen. Doch entscheidend bleibt die konzeptionelle Schwäche.

Haupert hält Überweisungen von einem mobilen Gerät nicht generell für unsicher. Er rät aber, die TAN auf einem separaten Gerät zu erstellen, im besten Fall auf einem sogenannten TAN-Calculator, in den man seine EC-Karte stecken muss, bevor er eine TAN generiert. ChipTAN- oder SmartTAN-Verfahren werden diese Prozesse genannt. Verfahren wie iTAN und mTAN müssen hingegen als unsicher gelten. Kriminelle hatten bereits einen Weg gefunden, das mTAN-Verfahren, bei dem die TAN per SMS an den Nutzer verschickt wird, auszutricksen.

Auf dem 32C3 legen neben Haupert auch andere Experten Sicherheitslücken im elektronischen Zahlungsverkehr offen. Am Sonntag hatten die Berliner Forscher Fabian Bräunlein, Philipp Maier und Karsten Nohl demonstriert, wie sie EC-Karten-Terminals in beliebigen Geschäften aus der Ferne klonen und dazu nutzen können, sich selbst Geld gutzuschreiben, das sie nie ausgegeben haben. Die Aufzeichnung ihres Vortrags gibt es hier, auch er ist nicht zuletzt ein eindrückliches Plädoyer für den Einsatz von Bargeld.