Vorsicht beim Online-Banking per App!

Mit einem Angriff auf die Online-Banking Apps der Sparkassen haben zwei Forscher der Uni Erlangen große Sicherheitslücken aufgedeckt. Durch eingeschleuste Schadsoftware war es ihnen gelungen, tatsächlich ausgeführte Überweisungen von Nutzern abzufangen, den Überweisungsbetrag zu erhöhen und völlig unbemerkt auf  andere Konten umzuleiten.

Um ihren Schadcode zu programmieren benötigten die Forscher bloß einen Zeitraum von zwei bis drei Wochen und betonen, dass auch andere Banking-Apps nicht sicherer sind und Manipulationen von geübten Hackern durchgeführt werden können.

Der große Kritikpunkt der Forscher ist, dass sowohl die App der Hausbank (in diesem Fall der Sparkasse) zusammen mit der pushTAN-App, die letztlich den Bestätigungscode für die einzelne Überweisung generiert, sich auf ein und demselben Gerät befindet.

Das bisherige mTAN-Verfahren der Banken, bei dem der Online-Banking-Nutzer den Bestätigungscode für seine Überweisungen direkt per SMS auf sein Handy erhält, gerät zunehmend in Verruf. Mit einer Zweit-SIM-Karte, die für Betrüger leicht erhältlich ist, können die Codes nämlich abgefangen werden. Banken bemühen sich daher zusehends um alternative Lösungen für das mobile Online-Banking.

Nach dem erfolgreichen Angriff auf die Sparkassen Apps spricht das Erlangener Forscher-Team jedoch eine klare Empfehlung für das nicht ganz so flexible, dafür aber deutlich sicherere ChipTAN-Verfahren aus, für das man einen speziellen TAN-Generator benötigt.

Quelle: heise.de

Bild: http://bit.ly/1GvamjV von geralt, Lizenz: CC0 BY 1.0