Forscher knacken TAN-Verfahren

Deutsche IT-Sicherheitsexperten haben laut eigenen Angaben das sogenannte „photoTAN“-Verfahren beim Onlinebanking via Smartphone geknackt. Unbemerkt vom betroffenen Bankkunden konnten sie Überweisungen beliebig verändern. Das Verfahren kommt bei verschiedenen deutschen Banken zum Einsatz.

„Wenn Banking-App und photoTAN-App auf einem Gerät installiert sind, können wir die Transaktionen manipulieren“, so Vincent Haupert von der Friedrich-Alexander-Universität Erlangen-Nürnberg der „Süddeutschen Zeitung“. Voraussetzung war den Angaben zufolge desweiteren, dass auf dem Gerät bereits eine mit Viren verseuchte Anwendung installiert war. Dadurch erhielten die Experten vollen Zugriff auf das Smartphone, unbemerkt vom betroffenen Bankkunden.

Ein Handy zeigt ein Quadrat aus bunten Pixeln, den Photo-TAN, an

Commerzbank.de

Das bunte Pixelbild muss mit dem Smartphone gescannt werden

Bei drei deutschen Banken im Einsatz

Das photoTAN-Verfahren wird von verschiedenen deutschen Banken genutzt, um mit einer einmalig zu nutzenden Ziffernfolge im Onlinebanking einen Auftrag zu bestätigen. Bei heimischen Geldinstituten ist das System nicht im Einsatz. Auf Anforderung des Kunden wird ein drei mal drei Zentimeter großes Quadrat aus bunten Pixeln erzeugt.

Der Kunde scannt diese Grafik mit seinem Smartphone und bekommt dort noch einmal die Auftragsdetails sowie eine Nummer, die eigentliche TAN (Transaktionsnummer), angezeigt. Mit dieser gibt er dann den Auftrag frei. PhotoTAN kann entweder kombiniert auf zwei Geräten (Computer und Handy) oder auch nur am Handy, ohne ein weiteres Gerät, verwendet werden.

Überweisungen unbemerkt verändert

Den Sicherheitsexperten gelang es dem Bericht zufolge, sich zwischen das Smartphone und den Server der jeweiligen Bank zu schalten. So konnten sie zum einen die vom Kunden abgeschickten Daten manipulieren und damit andere Überweisungsdaten an die Bank übermitteln.

Zum anderen konnten sie die photoTAN ebenfalls verändern, so dass diese dem Kunden seine ursprünglich eingegebenen Daten anzeigte. Bei einer späteren Überprüfung des Kontostands wurde dem Kunden ebenfalls vorgegaukelt, es sei alles in Ordnung.

Tipp: Mehr als ein Gerät benutzen

Das Angriffsszenario wurde unter dem Google-Handybetriebssystem Android demonstriert. Eine Attacke ist laut den Forschern aber prinzipiell auch beim iPhone-System iOS denkbar. Der Angriff gelang dem Bericht zufolge mit den Apps von drei verschiedenen Banken.

Laut den Sicherheitsexperten gelingt der Angriff nur, wenn sich Banking- und photoTAN-App auf einem Gerät befinden. Die Nutzung der photoTAN auf dem PC, kombiniert mit dem Handy als Lesegerät, ist demnach weiterhin sicher.

Links: