weitere Artikel

Stellungnahme zur Angreifbarkeit von App-basierten TAN-Verfahren

Bewertung

Im Rahmen des „Chaos Communication Kongress 2015“ am 28.12.2015 wurde in einem Vortrag die grundsätzliche Angreifbarkeit von App-basierten TAN-Verfahren aufgezeigt. Der Vortragende hatte dazu bereits im Oktober ein ähnliches Szenario beschrieben. Die Angriffsmöglichkeiten sind nicht ausschließlich auf die Verfahren der Sparkassen-Finanzgruppe bezogen, sondern gelten grundsätzlich für alle App-basierten Sicherungssysteme, die mit der Banking-App zusammen auf einem mobilen Endgerät (Smartphone oder Tablet) genutzt werden.

Die Sparkassen-Finanzgruppe hat sich vor zwei Jahren bewusst dazu entschieden, mit der pushTAN-App eine komfortable Lösung für Mobile Banking auf dem Smartphone anzubieten. Dies ist immer ein Abwägen zwischen den bekannten Sicherheitsrisiken einerseits und den Komfortansprüchen unserer Kunden andererseits. Daher wird dieses Verfahren unter Berücksichtigung der jeweils bekannten Sicherheitsrisiken ständig weiterentwickelt. Aus diesem Grund sind bislang auch keine Schäden eingetreten oder bekannt. Tatsächliche Schadensfälle sind auch weiterhin sehr unwahrscheinlich.

Selbstverständlich entspricht das Verfahren auch den Anforderungen der Aufsicht, mit der man sich in regelmäßigem Austausch zur Sicherheit von Online-Banking befindet.

Die aufgezeigten Angriffsmöglichkeiten bezogen sich auf das Zusammenspiel aktueller Versionen der Sparkassen-Apps und der pushTAN-App der Sparkassen-Finanzgruppe bei gemeinsamer Nutzung auf einem korrumpierten („gerooteten“) Android-Gerät. Die Apps für Apple iOS-Geräte sind von diesen Angriffsmöglichkeiten nicht betroffen.

Die dargestellte Vorgehensweise weist eine hohe Komplexität auf. Deshalb ist der gezeigte Angriff nur unter Laborbedingungen möglich. Zusätzlich sollte beachtet werden, dass ein solcher Angriff immer nur bei genau einer Version der pushTAN-App wirkungsvoll ist. Neue Versionen der pushTAN-App erfordern unter Umständen erneut einen hohen Aufwand seitens der Angreifer.

Diesen Artikel kommentieren

Weitere Artikel zu diesem Thema