IT-Sicherheit Mobiles Banking: Hacker knacken Photo-Tan-App

Zwei IT-Sicherheitsforschern der Friedrich-Alexander-Universität ist es gelungen, bei Banking-Apps der Deutschen Bank, Commerzbank und Norisbank den Geldfluss umzuleiten.

(Foto: Commerzbank AG)
  • Banken bieten Kunden an, Überweisungen über das Smartphone zu tätigen. Dazu wird unter anderem das Photo-Tan-Verfahren als App angeboten.
  • Dabei werden Auftragsdaten in einer bunten Grafik verschlüsselt.
  • Zwei IT-Sicherheitsforschern ist es nun gelungen, auf die Überweisungen zuzugreifen - und Geld auf ein fremdes Konto zu überweisen. Der Kunde bekommt davon nichts mit.
Von Hakan Tanriverdi, New York

Schnell, einfach und sicher. Mit diesem Marketing-Spruch versucht die Deutsche Bank Kunden davon zu überzeugen, dass deren per Smartphone überwiesenes Geld geschützt ist. Alles, was Kunden brauchen, sind demzufolge zwei Apps. In der Banking-App werden die Daten eingegeben, also Empfängerkonto und Geldbetrag. Anschließend kann der Kunde eine Tan generieren - diese wird über eine zweite App per Photo-Tan-Verfahren errechnet. Mit ihr gelangt das Geld sicher von Konto A nach Konto B, das ist das Versprechen. Es ist eines, das die Deutsche Bank vermutlich nicht halten kann - ebenso die Commerzbank und die Norisbank.

Denn zwei IT-Sicherheitsforschern von der Friedrich-Alexander-Universität Erlangen-Nürnberg ist es gelungen, für Apps dieser drei Institute den Geldfluss auf ein beliebiges Konto umzuleiten. Die Forscher haben dabei das Photo-Tan-Verfahren angegriffen. "Wenn Banking-App und Photo-Tan-App auf einem Gerät installiert sind, können wir die Transaktionen manipulieren", sagt Vincent Haupert.

In einem Forschungspapier schildern er und sein Kollege Tilo Müller gleich mehrere Angriffe, mit denen sie Überweisungen auf ein fremdes Konto umleiten konnten. In Beweisvideos demonstrieren sie sowohl ein Umleiten des Geldes in Echtzeit als auch ein komplettes Kopieren der Photo-Tan-App für eine Überweisung zu einem selbst gewählten Zeitpunkt.

Der Schutzfaktor entfällt

Tan steht für Transaktionsnummer. Sie ist ein Einmal-Passwort, das Kunden für zusätzlichen Schutz eingeben. Das Photo-Tan-Verfahren wurde eingeführt, damit Bankkunden ihre Überweisungen einfacher tätigen können. In einer bunten Grafik sind Auftragsdaten und Tan in verschlüsselter Form enthalten. Mit der Smartphone-Kamera wird die Grafik gescannt, entschlüsselt und angezeigt. Kunden können die Eingaben überprüfen und die Tan anschließend eingeben, zum Beispiel beim Online-Banking im Webbrowser.

Damit die Überweisung sicher bleibt, ist ursprünglich ein zweites Gerät erforderlich gewesen. Doch da sich nun beide Apps auf einem Gerät befinden, entfällt ein Schutzfaktor. "Das Photo-Tan-Verfahren verliert das Foto im Namen, da schließlich nichts mehr fotografiert wird", sagt Haupert. Die Daten werden von einer App zur nächsten weitergegeben. Das ermöglicht Hackern vollen Zugriff.

"Kein Problem, die tatsächliche Überweisung anschließend zu verstecken"

Öffnet ein Kunde die Banking-App und meldet sich an, erhalten Hacker Zugang zu Passwort und andere Daten. Sämtliche Eingaben des Kunden werden zuerst auf den Server der Hacker weitergeleitet und erst von dort aus weiter zur Banking-Seite geschickt. Will ein Kunde also Geld überweisen, können Angreifer diese Daten auf ihrem Server parken und durch eigene ersetzen. Die Banking-App schickt diese manipulierten Daten an die Photo-Tan-App. Da die Angreifer auch diese kontrollieren, sieht der Kunde die ursprünglich eingegebenen Daten. Die Tan wird also für eine Überweisung auf ein anderes Konto und für einen anderen Betrag errechnet. Der Kunde bekommt nichts mit. Auch dann nicht, wenn später der Kontostand im Smartphone überprüft wird.

"Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagt Haupert. Erst wenn Nutzer ihren Kontostand auf dem Rechner überprüfen, fällt der Betrug auf. Mit einem separaten Gerät, zum Beispiel per Überweisung über einen Web-Browser, wäre dieser Angriff nicht möglich, da die manipulierte Tan auffliegen würde.

Der Angriff der beiden Sicherheitsforscher ist an eine Bedingung geknüpft. Auf dem Smartphone der Betroffenen muss bereits eine mit Viren infizierte App installiert sein. Das ist nicht so ohne weiteres möglich. Allerdings gab es bereits Fälle, dass erfolgreich Schadsoftware installiert wurde. Manche wurden, als andere App getarnt, sogar zwischenzeitlich im Google-App-Store angeboten und hätten auf 90 Prozent aller Android-Smartphones funktioniert.

"Momentan ist es für Kriminelle noch einfacher, auf andere Art und Weise an Geld zu kommen", sagt Haupert. Aber er geht davon aus, dass sich Cyberkriminelle in Zukunft auf Banking-Apps fokussieren werden. Schließlich werde der Markt größer, das Smartphone ersetzt zunehmend die Bankfiliale.

"Online-Banking wird immer mobiler"

Der Branchenverband Bitkom teilt diese Ansicht: "Online-Banking wird immer mobiler", heißt es in einem aktuellen Bericht. Noch ist die tatsächliche Zahl der Nutzer vergleichsweise gering: 13 Prozent aller Menschen, die ihr Smartphone für Bankgeschäfte nutzen, überweisen per Smartphone. Diese Zahl werde aber steigen, sagt ein Bitkom-Sprecher.

Auf Nachfrage weisen Sprecher von Deutscher Bank und Norisbank darauf hin, dass sie das Thema Sicherheit sehr ernst nehmen: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden würden nach eigenen Präferenzen entscheiden, welches Verfahren ihnen zusage. Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer Antwort. Die Bank gebe Kunden zudem auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.

Üblicherweise präsentieren Hacker, deren Ziel hohe Sicherheit ist, Forschungsergebnisse betroffenen Unternehmen. Diese können die Lücken schließen, so dass die Kunden nicht mehr betroffen sind, wenn die Schwachstellen publik werden. Haupert und Müller haben sich dagegen entschieden. "Das ist kein technisches, sondern ein konzeptionelles Problem. Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten", behauptet Haupert. Anders gesagt: Das Verfahren sei unsicher, auch wenn man es richtig anwende.