Zwei Sicherheitsforschern ist es laut einem Bericht der "Süddeutschen Zeitung" gelungen, das beim Onlinebanking eingesetzte Verfahren photoTAN zu knacken - unter bestimmten Voraussetzungen. Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf Android-Smartphones installiert hatten, konnten sie nach Belieben Onlineüberweisungen umleiten oder diese selbst erstellen (hier das zugehörige Forschungspapier). Die Transaktionen konnten allerdings nur manipuliert werden, wenn Banking-App und photoTAN-App auf demselben Gerät installiert waren.
Die Angriffe könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller per photoTAN abgesicherte Onlineüberweisungen von Kunden der Deutsche Bank, der Norisbank und der Commerzbank betreffen. "Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken", sagte Haupert. Solange ein Kunde seine Bankgeschäfte am Smartphone tätige, bleibe die Manipulation unerkannt.
Mit der sogenannten photoTAN wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter großes Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder einem speziellen Lesegerät gescannt. Nach der Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.
Nutzung mit Lesegerät weiter sicher
Kritisch wird es nach Erfahrung der Forscher, wenn sich die Bankinganwendung sowie die photoTAN-App auf demselben Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer photoTAN auf dem PC mit einem externen Lesegerät halten die Forscher weiter für sicher.
Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem Smartphone der Opfer bereits eine mit Viren infizierte App installiert ist. "Das macht den Angriff schwieriger, aber nicht unmöglich", sagt Haupert. Darauf deute Schadsoftware wie "Godless" und "Hummingbad" hin.
Das Angriffsszenario habe man unter dem Google-Betriebssystem Android demonstriert. Eine Attacke sei aber prinzipiell auch auf iOS denkbar, heißt es von den Forschern. Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten.
Das sagen die Banken
Auf Nachfrage weisen Pressesprecher von der Deutschen Bank und der Norisbank darauf hin, dass man das Thema Sicherheit sehr ernst nehme: "Richtig angewendet sind alle Legitimationsverfahren sicher." Kunden entscheiden nach eigenen Präferenzen, welches Verfahren ihnen zusage.
Die Commerzbank erstatte im Schadensfall die vollständige Summe, heißt es in einer weiteren Antwort. Die Bank gebe Kunden auf ihrer Webseite Sicherheitshinweise. Der von den Forschern durchgeführte Angriff sei der Bank nicht bekannt.
Quelle: Android-Smartphones: Forscher knacken photoTAN-Verfahren - SPIEGEL ONLINE