Sicherheitslücke im mobilen Banking

31 Apps sind anfällig für Hackerangriffe. Die Konten der Nutzer könnten leergeräumt werden. Im kommenden Jahr könnte das Problem noch größer werden.
  • Kein System ist absolut sicher, aber es kann einiges getan werden, damit es sicherer wird. Foto: © mama_mia/Shutterstock.com
Zwei, drei Wochen habe es gedauert, sagt Nicolas Schneider. Dann habe man die wesentlichen Sicherheitsmechanismen bei Banking-Apps knacken können. Bei insgesamt 31 Finanz-Apps konnte der Forscher der Friedrich-Alexander-Universität Erlangen zusammen mit seinem Kollegen Vincent Haupert Sicherheitslücken aufdecken. Hätten kriminelle Hacker diese Schwachstellen zuerst entdeckt, wären sie in der Lage gewesen, die Konten ihrer Opfer leerzuräumen.

30 Prozent aller Smartphone-Nutzer tätigen mittlerweile Überweisungen mit ihrem Handy. Betroffen sind unter anderem die Apps der Sparkassen, Volksbank- und Raiffeisenbanken, die Commerzbank, die Fidor-Bank und die Comdirect. Deren Anwendungen konnten sie nicht nur kopieren und unautorisiert ausführen, sie konnten auch Transaktionsnummern (Tan) auf andere Geräte umleiten. Tans dienen dazu, Online-Überweisungen zu bestätigen.

Die Banken, die stets betonen, dass ihrer Anwendungen sicher sind, reagierten prompt. „Bisher sind uns noch keine derartigen Angriffe gegen Banking-Apps bekannt“, teilte der Verband der deutschen Kreditwirtschaft mit. Man versprach außerdem, dass alle betroffenen Apps in Kürze aktualisiert werden. Der Verband und die Anbieter der Apps stünden zudem in direktem Dialog mit den Forschern, um die Schwachstellen besser einschätzen und Abhilfe einleiten zu können. Die Sicherheit der Apps sei auch „weiterhin gewährleistet“, heißt es von der Vereinigung.

Die Forscher sehen das anders. Der Aufwand und die Komplexität des Angriffs seien zwar nicht „trivial“, sagt Schneider. „Man kann aber davon ausgehen, dass ihn auch kriminelle Hacker bewerkstelligen könnten. Voraussetzung ist, dass die Kunden die Banking-App und eine Anwendung, die Tans für einzelne Überweisungen bereitstellt, auf demselben Gerät verwenden. „Um die Nutzerdaten auszuspähen, würde sogar eine einzige App reichen“, sagt Schneider.

Die Aktion der beiden Wissenschaftler offenbart ein grundsätzliches Problem: Immer mehr Kunden wünschen, mobil mit dem Smartphone bezahlen zu können oder Überweisungen zu tätigen. Mobiles Banking funktioniert aber nur, wenn Tan und Transaktion auf einem Gerät stattfinden. Ist das allerdings der Fall, ist völlige Sicherheit nicht herzustellen. Deswegen haben Schneider und Haupert die App-Entwickler auch nicht gewarnt, bevor sie an die Öffentlichkeit gegangen sind. „Es handelt sich um ein konzeptionelles Problem“, sagt Schneider.

Fintechs krempeln Markt um

Dieses Problem könnte in Zukunft noch größer werden. Wenn am 18. Januar kommenden Jahres die Umsetzungsfrist der erneuerten EU-Zahlungsdienste-Richtlinie (PSD2) abläuft, müssen Geldhäuser nach dem Willen der EU auch Drittanbietern wie Finanz-Start-ups („Fintechs“) den Zugriff auf Konten und Daten ihrer Kunden ermöglichen. Diese könnten Verbrauchern mit mehreren Konten dann ermöglichen, ihre Bankverbindungen in einer einzigen App zusammenzufassen und über diese Anwendung gleichzeitig mobil zu bezahlen.

Verbraucherschützer Erk Schaarschmidt ist deswegen alarmiert: „Kein System ist sicher.“ Hacker würden immer wieder Angriffspunkte finden, über die sie in Apps eindringen könnten. Alle Daten in einer Anwendung zu konzentrieren, könne er deswegen nicht empfehlen. Ein Hacker bräuchte anstelle mehrerer Methoden jedoch nur noch eine einzige, um an das Geld seiner Opfer zu gelangen.
© Südwest Presse 25.11.2017 07:45
1382 Leser
Ist dieser Artikel lesenswert?