Online-Banking per photoTAN potentiell unsicher

Mehrere Online-Medien, unter anderem die Süddeutsche Zeitung, Zeit-Online und der Stern, berichten über eine neue Sicherheitslücke beim Online-Banking mittels des sogenannten photoTAN-Verfahrens. Zwei IT-Sicherheitsforschern der Universität Erlangen-Nürnberg ist es demnach gelungen, photoTANs der Deutschen-Bank, der Commerzbank, der Norisbank und der Comdirect-Bank zu stehlen bzw. zu manipulieren und so Überweisungen auf fremde Konten umzuleiten.

Das photoTAN-Verfahren

Das photoTAN-Verfahren wurde von einigen Banken eingeführt, um die Sicherheit beim Online-Banking zu erhöhen. Bei diesem Verfahren scannt ein Online-Banking-Kunde mittels einer speziellen App auf seinem Smartphone einen im Online-Banking-Bereich der Bank angezeigten QR-Code. Dieser Code enthält in verschlüsselter Form die gewünschten Auftragsdaten und die zur Freischaltung benötigte Transaktionsnummer (TAN). Die App entschlüsselt diese Daten und zeigt sie dem Kunden im Klartext an. Dieser gibt dann die TAN im Online-Banking ein und die Transaktion damit frei.

Wer ist betroffen?

Betroffen sind laut den Forschern diejenigen Nutzer, welche sowohl die Transaktion als auch die TAN-Erzeugung auf dem selben mobilen Gerät ausführen. In diesem Fall kommuniziert nämlich die Banking-App direkt mit der photoTAN-App. Ein „Abscannen“ wie oben beschrieben ist nicht mehr notwendig. Ist in einem solchen Szenario eine Schadsoftware auf dem Smartphone vorhanden, kann diese die Kommunikaiton zwischen den Apps manipulieren und so die unberechtigte Transaktion auslösen – der Nutzer bemerkt hiervon nichts, da die betreffende Transaktion anschließend unsichtbar gemacht wird. Dokumentiert wurde dieses Verfahren von den Forschern auf Android-Geräten. Eine Attacke ist aber prinzipiell auch unter iOS denkbar.

Wie kann man sich schützen?

Um sich gegen einen solchen Angriff zu schützen, sollten folgende Maßnahmen ergriffen werden:

  • Online-Banking-App und photoTAN-App nicht auf dem selben Gerät betreiben.
  • Entsprechende Apps gegebenenfalls löschen.
  • Alternativ auf das SMS-TAN-Verfahren ausweichen und zum Empfang der SMS-TANs ein altes Handy ohne Internetzugang nutzen.

Was können Betroffene tun?

Derzeit ist noch nicht bekannt, ob das beschriebene Szenario auch schon von Betrügern angewandt wurde. Entdeckt ein Online-Banking-Kunde eine unberechtigte Abbuchung auf seinem Konto, sollte er sich unverzüglich an seine Bank wenden und den Online-Zugang zu seinem Konto vorübergehend sperren lassen. In vielen Fällen steht den Betroffenen ein Erstattungsanspruch gegen die Bank zu, sodass sich der finanzielle Schaden im Rahmen hält. Die Commerzbank hat laut Süddeutsche Zeitung angekündigt, im Schadenfall die vollständige Summe zu erstatten.

 

Text: CC-BY 4.0 / Rechtsanwalt Jakob Wahlers
Beitragsfoto: Picjumbo.com