Vincent Hauper, Sicherheitsforscher und Doktorand an der Uni Erlangen-Nürnberg führte auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig vor, wie er App-basierte TAN-Verfahren bei Online-Banking manipulieren konnte. In vielen Online-Banking-Apps klafften schwere Sicherheitslücken. Dies machte er bereits im November öffentlich. Auf dem Congress in Leipzig zeigte er die Einzelheiten dazu auf. Klar ist: Sicherer sei eine Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.
Empfänger und Betrag der Überweisung änderbar
Auf dem 34. Chaos Communication Congress (34C3) führte Haupert vor, wie er den Schutz einer Banking-App auf einem Android-Smartphone entfernen konnte. So änderte er beispielsweise den Namen des Empfängers und den Betrag der Überweisung. Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme aufmerksam gemacht. Inzwischen gebe es bereits eine neue Version der Schutzsoftware. Bisher seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Allerdings ist er überzeugt, dass eine "App-Härtung“ kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, das heißt, dass dafür zwei separate Endgeräte wie ein PC und ein Smartphone eingesetzt werden müssten. Unter Härten versteht man in der Computertechnik die Sicherheit eines Systems zu erhöhen. Betroffen waren von den Sicherheitslücken 31 Online-Banking-Apps.
Größter Hackerkongress in Europa
Auf dem 34. Chaos Communication Congress beschäftigen sich rund 15.000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computertechnik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt. Er gilt als größter Hackerkongress in Europa.