Wie sicher die neuen Onlinebanking-Apps sind
Zum Anmelden bei einem Onlineportal braucht man einen Benutzernamen und ein Passwort zur Identifikation. Ein altbekanntes System, das aber längst nicht mehr aktuellen Sicherheitsstandards entspricht. Datenbanken mit Passwörtern sind ein begehrtes Angriffsziel von Hackern. Geraten diese Zugangsdaten in falsche Hände, können Kriminelle großen Schaden anrichten, weil sie damit uneingeschränkten Zugang zu den Onlinekonten der Anwenderinnen und Anwender erlangen. Viele Anbieter von Onlinediensten bieten daher die Zwei-Faktor-Authentifizerung an.
Zwei Faktoren machen Hackern das Leben schwer
Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1.
Jetzt auch als Podcast.
Hinter dem sperrigen Begriff der Zwei-Faktor-Authentifizierung verbirgt sich ein System, das nicht nur auf die Eingabe von Benutzernamen und Passwort setzt, sondern einen zweiten, davon unabhängigen Pfad zur Identifizierung anbietet, erklärt IT-Spezialist Reinhard Posch. Er ist unter anderem für behördliche EDV-Sicherheitsanwendungen wie die Handy-Signatur verantwortlich.
Man wolle vermeiden, dass das gesamte Geschäft über einen einzigen Pfad abgewickelt wird, um zu verhindern, dass sich Hacker in diesen Pfad einschleichen können. Aus diesem Grund wählt man eine zweite Methode, einen zweiten Kanal, der notwendig ist und auf der Serverseite des Onlineshops oder der Bank zusammenkommen muss, damit das Einwählen in das Service stattfinden kann, so Posch.
Fotolia/alexbrylovhk
Banken waren Vorreiter bei der Zwei-Faktor-Authentifizierung
TAN-Nummer als zweiter Faktor beim Onlinebanking
Ein bekanntes Beispiel für so eine zweite Methode ist die TAN-Nummer. Diese wurde Bankkunden früher in Papierform, auf TAN-Listen, zur Verfügung gestellt. Mittlerweile werden die Codes meist per SMS auf das Mobiltelefon gesendet. Die TAN-Nummern müssen zusätzlich zu Verfügernummer und Passwort eingegeben werden, um beispielsweise eine Onlineüberweisung durchführen zu können.
Dadurch werde es Hackern schwer gemacht, die Transaktionen abzufangen, da sie die TAN-Nummer, also den zweiten Faktor, auch dann nicht kennen, wenn es ihnen gelungen sein sollte, in den Besitz des Passworts zu gelangen. Ein Angreifer müsste den zweiten Pfad, über den die TAN-Nummer übertragen wird, synchron attackieren, was eine sehr komplexe Operation sei, so Posch.
Verunsicherung durch neue Banking-Apps
Seit dem 4. September gelten innerhalb der EU schärfere Sicherheitsbestimmungen für das Online-Banking. Diese wurden im Rahmen der Zweiten Zahlungsdienstleistungsrichtlinie der Europäischen Union (PDS2) umgesetzt. Die alte TAN-Liste auf Papier ist abgeschafft, die mobile TAN per SMS soll in Bälde folgen. Die Banken bieten nun neue Apps zur Abwicklung von Bankgeschäften an.
Diese Banking-Apps bauen eine verschlüsselte Verbindung zwischen dem Kunden und der Bank auf. Durch diese Verschlüsselung sei das System sicherer als der herkömmliche Weg über SMS, so Posch. Eine SMS könnte theoretisch abgefangen werden. Hacker könnten dann eine manipulierte SMS an die Bankkunden senden und auf diese Weise Zugriff auf das Konto erlangen.
Nur noch ein Gerät für Überweisungen
Bei der klassischen Zwei-Faktor-Authentifizierung waren zwei physisch getrennte Systeme notwendig. Etwa der PC und eine TAN-Liste, oder der PC und das Mobiltelefon zum Empfang der TAN-Nummer. Viele der neuen Banking-Apps ermöglichen komplette Überweisungen auf einem einzigen Gerät.
Das verunsichert manche Verbraucherinnen und Verbraucher. In einer Mail an Help.ORF.at heißt es: „Ein Krimineller kann, wenn er dieses eine Gerät erlangt, das Konto komplett abräumen. Es ist lediglich ein einzelner Login-Code von Nöten, mit dem man auch die Freigabe von Überweisungen vornimmt. Denn alle anderen Login-Daten merkt sich das Smartphone von allein. Eine unglaubliche Unsicherheit ist dadurch entstanden.“
„Gesperrte Smartphones sind nur schwer zu knacken“
IT-Sicherheitsexperte Posch beruhigt. Ein Smartphone, das beispielsweise mit biometrischen Daten wie Fingerabdruck oder Gesichtserkennung abgesichert ist, sei wesentlich schwieriger zu knacken als der herkömmliche PC. Im Speicher eines Smartphones sei die Information, wie man das Gerät entsperren könne, nämlich nirgendwo abgelegt, so Posch.
Anders sei dies beim Computer. Auf dessen Festplatte sei letztlich jede enthaltene Information gespeichert. Das gilt auch für heikle Informationen, wie beispielsweise Passwörter. Wenn es einem Kriminellen gelingt, den Prüfmechanismus für die Passwörter zu umgehen, gelange dieser auch an alle gespeicherten Daten. Im Gegensatz dazu seien alle Daten, die auf einem Smartphone gespeichert sind, verschlüsselt, so Posch.
Zugangsdaten werden nicht am Handy gespeichert
Zugangspasswörter und biometrische Daten, die zum Entsperren eines Mobilgeräts notwendig sind, werden verschlüsselt in einem eigenen Hardwarechip abgelegt. Dieses Bauteil, das auch als „Secure Element“ bezeichnet wird, ist vom eigentlichen Speicher des Smartphones abgetrennt.
Auch die am Smartphone installierten Apps arbeiten verschlüsselt. Sie können nicht miteinander kommunizieren und Informationen austauschen. Eine App weiß also nicht, was die andere tut. Wer nur das Smartphone für Bankgeschäfte nutzt, verwendet zwar keine getrennten Geräte, durch die vorhandenen Sicherheitsmechanismen habe man aber quasi mehrere Geräte, die in einer Hülle verbaut sind, so Posch.
Banken sind für Sicherheit ihrer Apps verantwortlich
Voraussetzung für die Sicherheit von Banking-Apps ist natürlich, dass diese sauber programmiert sind und alle Sicherheitsstandards implementiert wurden. Dies liege aber in der Verantwortung der Bank, so Posch. Sollte das nicht der Fall sein, dürften Konsumentinnen und Konsumenten eigentlich keine großen Probleme haben, im Schadensfall ihre Haftungsansprüche gegenüber der Bank durchzusetzen, meint der Experte.
Sollte durch eine fehlerhafte App ein finanzieller Schaden entstanden sein, ließe sich das problemlos von unabhängiger Seite prüfen, so Posch. Aus Sicht des Experten wäre es daher sinnvoll, alle Diensteanbieter, bei denen Verbraucher Geld transferieren oder wertvolle Daten hergeben, gesetzlich dazu zu verpflichten, eine Zwei-Faktor-Authentifizierung anzubieten, weil nur auf diese Weise die Haftung des Benutzers durchsetzbar sei.
Keine Wischgesten zum Entsperren von Handys
Konsumentinnen und Konsumenten müssen aber natürlich darauf achten, dass sie alle ihnen möglichen Sicherheitsvorkehrungen treffen. Das bedeutet, dass das Mobilgerät in jedem Fall gesperrt sein muss, wenn es nicht verwendet wird. Etwa mittels eines sicheren Passworts oder über biometrische Daten wie den Fingerabdruck oder die Gesichtserkennung. Vom Verwenden von Wischgesten zum Entsperren des Geräts raten Experten ab, da diese von Unbefugten vom Bildschirm abgelesen werden könnten.
Watchlist Internet: Warnung vor gefälschten Apps
Leider nutzen auch Kriminelle die Umstellungsphase auf die neuen Banking-Apps. Sie versuchen, PC-Anwendern gefälschte Banking-Apps unterzujubeln. Watchlist Internet warnt in diesem Zusammenhang vor Phishing Mails. Damit können Kriminelle beispielsweise die TAN-Nummern abfangen und auf diese Weise Zugriff auf das Bankkonto erlangen. Banking Apps sollten ausschließlich aus seriösen Quellen wie iTunes oder dem Google-Play-Store bezogen werden. In den Handyeinstellungen können Konsumentinnen und Konsumenten außerdem festlegen, dass der Bezug von Apps aus unsicheren Quellen generell gesperrt wird.
Paul Urban Blaha, Help.ORF.at
Link:
- E-Banking: Sicherheit auf Kosten der Bequemlichkeit
- Sicher und bequem: Passwortmanager
- Online Bezahlen mit Durchblick
Publiziert am 19.10.2019