Informatiker der Universität Erlangen-Nürnberg (FAU) führten einen erfolgreichen Angriff auf die photoTAN-Verfahren der Deutschen Bank, der Commerzbank und der Norisbank durch. Erst im vergangenen Jahr hatten die Wissenschaftler mit einer Manipulation der pushTAN-App der Sparkasse die konzeptionelle Schwäche des Ein-Geräte-Bankings aufgezeigt.
Beim photoTAN-Verfahren muss der Nutzer einen Matrixcode vom PC, Notebook oder Tablet abscannen; die Smartphone-App generiert daraus eine TAN. „Das ist grundsätzlich ein sicheres Verfahren, weil daran zwei voneinander unabhängige Geräte beteiligt sind. Um hier eine Manipulation vornehmen zu können, müsste der Angreifer beide Geräte kontrollieren“, sagt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.
Genau dieses Sicherheitskonzept aber wird beim mobilen photoTAN-Banking ausgehebelt: Weil man den auf dem Smartphone bereitgestellten Matrixcode nicht mit demselben Gerät abscannen kann, greift die Banking-App direkt auf die TAN-App zu, um die Transaktion auszulösen.
13 Euro statt zehn Cent umgeleitet
Die photo-TAN-Apps der Deutschen Bank, der Commerzbank und der Norisbank wurden auf einem Smartphone gehackt und der Empfänger sowie der Betrag in Echtzeit manipuliert. „Während auf dem Display eine Überweisung von zehn Cent an das Finanzamt angezeigt wurde, haben wir in Wirklichkeit 13 Euro auf ein privates Konto überweisen. Die manipulierte Transaktion war für den Nutzer zu keiner Zeit sichtbar“, so Haupert.
Es sei auch gelungen, die photoTAN-App auf das Gerät des Angreifers zu kopieren. Diese generiert dann die gleichen TANs wie das Original. „Wenn es einem Angreifer gelingt, die Zugangsdaten der Banking-App zu erlangen, kann er letztlich beliebige Transaktionen zulasten des Opfers vornehmen.“
Infrage gestellt: „Unabhängigkeit der Authentifizierungselemente“
Brisant seien die Ergebnisse wegen der Zweiten Zahlungsdiensterichtlinie, die für alle Banken ab 2018 verbindlich wird. Hierfür hat die Europäische Bankenaufsichtsbehörde einen Entwurf zur Ausgestaltung der obligatorisch werdenden starken Kundenauthentifizierung vorgelegt. Danach müssen Online-Zahlungen mit zwei unabhängigen Authentifizierungselementen aus dem Bereich Wissen (Passwörter, Codes), Besitz (EC-Karte, TAN-Generator, Smartphone) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Iris) autorisiert werden.
Darüber hinaus muss die Unabhängigkeit der verwendeten Elemente garantiert werden, sodass ein kompromittierter Faktor nicht auch das zweite Authentifizierungselement kompromittiert.
„Unsere Untersuchung stellt die Unabhängigkeit der Authentifizierungselemente infrage, wenn beide Faktoren – im konkreten Fall die Banking-App und die photoTAN-App – auf demselben Smartphone betrieben werden. Diese Erkenntnis gilt nicht nur für die von uns analysierten pushTAN- und photoTAN-Verfahren, sondern lässt sich grundsätzlich auf alle App-basierten Authentifizierungsverfahren im Online-Banking übertragen“, erläutert Haupert abschließend. Auf den Komfort des mobilen Bankings müsse man dennoch nicht verzichten, allerdings sollte man dafür einen dedizierten photoTAN-Generator nutzen, den die Bank zur Verfügung stellt.