Online-Banking: Mobile Ziele

Geldgeschäfte sind am Handy wesentlich unsicherer als am PC. Wer sein Smartphone dennoch für Finanztransaktionen nutzen will, muss Vorsichtsmaßnahmen treffen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 4 Min.
Von
  • Michael Sudahl

Mitte Oktober vergangenen Jahres gelang zwei Forschern der Uni Erlangen, was Nutzer von Online-Banking-Apps für Handys wohl am meisten fürchten: Die beiden Softwarespezialisten konnten Finanztransaktionen, die über die Sparkassen-Apps liefen, abfangen und manipulieren. Zwar ist diese Sicherheitslücke mittlerweile behoben. Doch der Hack weist darauf hin, wie unsicher die Smartphone-Software von Banken generell ist.

Umso bedenklicher ist es, dass immer mehr Kreditinstitute rein App-basierte Banking-Verfahren anbieten. Neben dem eigentlichen Programm muss der Benutzer bei solchen Systemen noch eine passwortgeschützte Zusatz-App herunterladen. Diese generiert die passende Transaktionsnummer (TAN). Per Touch übernimmt die Haupt-App die Zahl.

Fokus: Fintech

Gründer und Start-ups mischen die Finanzbranche auf. Was die Kunden davon haben, lesen Sie in unseren Fokus-Texten zum Thema Fintech.

Komfortabel soll der Vorgang sein – doch leider geht das auf Kosten der Sicherheit. Der Schutz vor Spähattacken beruht beim Online-Banking im Allgemeinen darauf, dass der Nutzer seine Persönliche Identifikationsnummer (PIN) kennt und für jeden Vorgang zusätzlich noch eine TAN erhält. Normalerweise landen PIN und TAN auf zwei verschiedenen Geräten. Beispielsweise loggt sich der Benutzer mit seiner PIN am Computer ein und bekommt die TAN per SMS aufs Handy geschickt.

"Das Problem bei den Apps ist, dass die Authentifizierung nur noch auf einem Gerät stattfindet. Einen wichtigen Teil der Sicherheitsvorkehrungen hebelt der User somit selbst aus", sagt Marc Fliehe vom Digitalverband Bitkom. Das nutzen Hacker, um die Zugangsdaten auszuspionieren. Weil Android seinen deutschen Marktanteil seit Jahren bei mehr als 70 Prozent hält, ist das Betriebssystem ein beliebtes Ziel.

Meist erleichtern Sicherheitslücken im Betriebssystem und in den Apps die Attacken. Das Softwarehaus Symantec stuft 17 Prozent aller Android-Apps als Malware, also Schadcode, ein. Aber auch andere Systeme wie iOS sind Hackerangriffen ausgesetzt. So sammeln iOS-Apps, die mit XcodeGhost infiziert wurden, Geräteinformationen. Diese Daten verschlüsselt die Schadsoftware und lädt sie auf Server hoch, die von Kriminellen betrieben werden. Mehr als 4000 infizierte Apps gibt es im App-Store.

Hacker versuchen bei Angriffen zuerst ihren Schadcode auszuführen und anschließend die Berechtigungen des Trojaners auszuweiten, um das Handy fernsteuern zu können. "Besitzt ein Hacker erst mal Rootrechte, ist es vorbei mit der Sicherheit. Durch diese volle Berechtigung kann er alle Daten extrahieren", warnt Philipp Buchegger von der IT-Sicherheitsfirma SySS, der Apps auf mögliche Angriffe testet. "Zwar implementieren Banken zahlreiche kryptografische Verfahren in ihre Apps, die einen Angriff auf das Smartphone entdecken sollen, Hacker modifizieren Handys jedoch so, dass alles halbwegs normal aussieht. Die App selbst erkennt deshalb keine Veränderung." Auch Nutzer bemerkten meist nichts von der Manipulation.

Virenscanner sollen vor solchen Angriffen schützen. Sie haben aber nur eingeschränkte Zugriffsrechte und sehen nicht, was in anderen geschützten Umgebungen im Handy vorgeht, etwa in verschlüsselten Online-Banking-Apps. Und oft ist der Prozessor für ausführliche Tests zu schwach, der Akku zu schnell leer. Daher scannen Anti-Viren-Apps lediglich Mail-Anhänge.

Was also tun? Um das TAN-System zu umgehen, können einige Apps seit gut einem Jahr Transaktionen am Handy auch biometrisch autorisieren: Ein Fingerabdruck reicht. Doch auch dieses Verfahren hat Haken. "Die Biometrie funktioniert nur so gut wie die Sensoren am Handy. Es findet lediglich eine Ähnlichkeitsanalyse statt und kein vollständiger Vergleich. Denn die Haut verändert sich ständig", warnt Sicherheitsexperte Buchegger. Das Schwierige sei deshalb, die richtige Toleranzgrenze zu finden. Ist das Verfahren zu ungenau, funktioniert es auch bei hoher Ähnlichkeit und ist relativ leicht zu manipulieren. Ist es zu genau, verwehrt es eventuell dem Richtigen den Zugriff.

So bleibt als einziger Ausweg: Die Anwender von Online-Banking-Apps müssen sich bei ihren Finanztransaktionen über einen zweiten Kanal absichern. Um die TAN zu erzeugen, sollten sie etwa – wie bei Bankgeschäften am PC üblich – eine Bankkarte einsetzen, in die inzwischen standardmäßig ein Kryptochip integriert ist. Das macht das Verfahren umständlicher, gilt aber unter Computerexperten als relativ angriffssicher. (bsc)