Ratgeber - Netzwelt


9

Banking-App gehackt Erlanger Student trickst Sparkasse aus

Der Informatiker Vincent Haupert hat auf dem Kongress des Chaos Computer Club gezeigt, wie sich das push-TAN-Verfahren der Sparkassen aushebeln lässt. Generell als unsicher kritisiert er, wenn sich Banking- und TAN-App auf demselben Handy befinden.

Von: Achim Killer

Stand: 29.12.2015

Sparkassen-App auf einem Tablet | Bild: picture-alliance/dpa

Bereits im Oktober hatte der Erlanger das push-TAN-Verfahren überlistet. Dabei werden in eine App die Überweisungsdaten eingegeben. Eine andere berechnet die zugehörige Transaktionsnummer. Die Sparkassen hatten damals erklärt, Haupert habe lediglich veraltete Apps gehackt.

Auch neueste Software ist löchrig

Auf dem Kongress 32C3 des Chaos Computer Clubs in Hamburg zeigte er deshalb, wie sich Überweisungen auch bei der neusten Banking-Software manipulieren lassen. Dass dies dem Hacker gelang, bedeutet aber nicht, dass auch Online-Bankräuber es in der Praxis können. Haupert hatte bei seiner Demo vollen Zugriff auf das gehackte Smartphone.

Chip-TAN-Methode ist relativ sicher

Allerdings zeigt der Hack, dass das push-TAN-Verfahren grundsätzlich angreifbar ist. Es wird als Zwei-Faktor-Authentifizierung angepriesen und stellt eine Weiterentwicklung des Chip-TAN-Verfahrens dar, bei dem ein separater Kartenleser die TAN berechnet. Aus zwei Geräten wurden zwei Apps auf einem Gerät. Das sei unzureichend, kritisiert Haupert. Chip-TANs hingegen hält er für sicher: "Dieses Verfahren ist praktisch nicht zu knacken."


9