Bei der Deutschen Bank, der Commerzbank und der Norisbank wurden die Forscher fündig. Die Geldinstitute hatten die Zwei-Faktor-Authentisierung auf dem Smartphone zusammengeführt, auf die Einbindung einer Sicherheitsinstanz verzichtet und damit Einfallstore aufgemacht.
Die photoTAN-App ist eine beliebte Authentifizierungslösung beim Online-Banking, die gerade in Deutschland und in der Schweiz weite Verbreitung findet. Beim photoTAN-Verfahren muss der Nutzer einen Matrixcode vom PC, Notebook oder Tablet abscannen; die Smartphone-App generiert daraus eine TAN. "Das ist grundsätzlich ein sicheres Verfahren, weil daran zwei voneinander unabhängige Geräte beteiligt sind", beruhigt Vincent Haupert vom Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU.
Was ist passiert?
Die erfolgreiche Attacke gelang in einem Mobile-Banking-Szenario, bei dem die Mobile Banking-App und die photoTAN-App auf dem gleichen mobilen Gerät installiert waren: 1-Device/2-App Strategie. Erst im vergangenen Jahr hatten die Wissenschaftler mit einer ähnlichen Verfahren aufgezeigt, wie zum Beispiel die von den Sparkassen verwendete PushTAN erfolgreich angegriffen werden kann.
Zum eigentlichen photoTAN-Verfahren sind jedoch zwei Geräte nötig: eines, um die Matrix-Grafik mit den Transaktionsdetails (beispielsweise IBAN und Betrag) anzuzeigen und ein zweites, um diese abzufotografieren und dann die TAN zu generieren.
Dieser ursprüngliche photoTAN-Ansatz ist grundsätzlich nicht mit 1-Device Strategien vereinbar, weil man den auf dem Smartphone bereitgestellten Matrixcode nicht mit demselben Gerät fotografieren kann. Ergo greift die Banking-App direkt auf die TAN-App zu, um die Transaktion auszulösen.
Die betroffenen Banken haben beim mobilen photoTAN-Verfahren die Zweifaktor-Authentifizierung auf einem Gerät zusammengeführt und "so abgekürzt, dass die Transaktionsdetails aus der Mobile Banking App lokal - App-to-App - an die photoTAN App übertragen werden und die dort generierte TAN ebenso lokal zurück übertragen wird", erklärt Markus Tak, CTA/Chief Technology Architect von Kobil Systems, einem deutschen Security-Unternehmen, das sich auf Lösungen für Digitale Identitäten spezialisiert hat und mit der intelligenten Softwarelösung "mIDentity Application Security Technology" (mAST) entsprechend abgesicherte Banking-Kommunikationsketten ermöglicht.
Die von den Erlanger Forschern angegriffene photoTAN App ist stets offline, hat also keine Verbindung zu einem Server, obwohl sie das sensible Schlüsselmaterial zur Erstellung von TANs und die Komponente zur Visualisierung der Transaktionsdetails beherbergt.
Wie lief die Manipulation ab?
Durch den Einsatz verschiedener Hacking-Technologien gelang es den Sicherheitsforschern, sowohl die Mobile-Banking-App als auch die photoTAN App derart zu manipulieren, dass eine andere Überweisung ausgeführt wird als diejenige, die der Benutzer erfasst hat. Für den Benutzer sieht es so aus, als ob dessen beabsichtigte Überweisung ausgeführt würde, aber im Hintergrund - verborgen durch den Hacker Angriff - wird eine ganz andere Überweisung gegenüber der Bank ausgeführt, und diese ist aus Sicht der Bank vollständig legitimiert.
Brisant sind die Ergebnisse der FAU-Informatiker auch vor dem Hintergrund der im Januar 2016 in Kraft getretenen Zweiten Zahlungsdiensterichtlinie (PSD II), die nach einer Übergangsphase von zwei Jahren für alle Zahlungsdienstleister verbindlich wird. Hierfür hat die Europäische Bankenaufsichtsbehörde EBA einen Entwurf zur konkreten Ausgestaltung der obligatorisch werdenden starken Kundenauthentifizierung vorgelegt.
Danach müssen Zugriffe auf das Konto - Transaktionen genauso wie das Abfragen des Kontostands - mit zwei unabhängigen Authentifizierungselementen aus dem Bereich Wissen (Passwörter, Codes), Besitz (EC-Karte, TAN-Generator, Smartphone) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Iris) autorisiert werden. Darüber hinaus muss die Unabhängigkeit der verwendeten Elemente garantiert werden, so dass ein kompromittierter Faktor nicht auch das zweite Authentifizierungselement kompromittiert.
- Sparkasse
Mit der offiziellen und kostenlosen Banking-App der Sparkasse können Sie jederzeit ihre aktuellen Kontostände einsehen. So haben Sie die Möglichkeit beliebig viele Konten, sei es Giro-, Festgeld-, Tagesgeld-, Spar-, Darlehens-, LBS-Bausparkonten und DEKA-Depots, auf ihrem Smartphone einzurichten. Auch bietet die App alle wichtigen Funktionen aus dem Online-Banking. So lassen sich Überweisungen, Daueraufträge und Lastschriften problemlos auch von unterwegs erledigen. <br><br> Ein praktisches Feature ist aber auch die Suche nach Filialen und Geldautomaten in ihrer Nähe. Für die Sicherheit sorgen neben einem App-Zugriffs-Schutz durch ein Passwort und eine Auto-Lock-Funktion, viele weitere Sicherheitsmaßnahmen, die der TÜV bestätigt hat. <br><br> Preis: kostenlos - Sparkasse+
Im Gegensatz zur Sparkassen-App müssen Sie bei Sparkasse+ kein Sparkassenkunde sein. So können Sie neben Konten der Sparkasse auch auf andere Bankkonten zugreifen und bequem unterwegs Kontostände überprüfen, Überweisungen tätigen und Daueraufträge einrichten. Der Filial- und Geldautomaten-Finder ist in Sparkasse+ ebenso integriert. <br><br> Praktisch ist auch der Kontowecker, der Ihnen jede Aktivität via Pushnachricht liefert. Voraussetzung ist ein Google-Konto. Auch diese App unterliegt den höchsten Sicherheitsstandards. <br><br> Preis: kostenlos - StarMoney Phone
Bei der App StarMoney handelt es sich um eine Multibanking-App, die im Gegensatz zu vielen anderen Banking-Apps die Möglichkeit des Online-Bankings bei verschiedenen Banken anbietet, sodass Sie auch unterwegs die volle Kontrolle über alle finanziellen Transaktionen haben. Ob ihr Geldinsitut unterstützt wird, überprüfen Sie einfach auf der starmoney-Website. Jedoch werden folgende Banken nicht unterstützt: Commerzbank, Targobank, BMW Bank, Volkswagen Bank, Santander Bank und Bank of Scotland. <br><br> Ansonsten bietet die App neben den gewohnten Funktionen wie Überweisungen, Umbuchungen und weitere auch grafische Auswertungen ihrer Ausgaben und Einnahmen an. <br><br> Preis: kostenlos - Commerzbank
Die App bietet Commerzbank-Kunden den mobilen Zugriff auf das gesamte Banking- und Brokerage-Angebot der Commerzbank. Sie können sich über ihren aktuellen Kontostand und Umsätze informieren, Inlandsüberweisungen tätigen und dies auch auf ihre Kreditkarte. Zudem zeigt die App ihre monatliche Kontoauszüge, Kreditkartenabrechnungen und Wertpapierdokumente an. Außerdem ist ein Filial- und Geldautomatenfinder sowie ein mobiler Service mit Service- und Notrufnummern integriert. <br><br> Preis: kostenlos - SpardaApp
Mit der offiziellen SpardaApp lassen sich ihre Finanzen bei der Sparda-Bank auch von unterwegs kontrollieren und verwalten. So rufen Sie ganz einfach ihren aktuellen Kontostand oder Umsatzliste ab oder tätigen Überweisungen und Terminüberweisungen. Lastschriften können Sie zurückgegeben, und Daueraufträge einrichten. Und auch diese App bietet die Geldautomatensuche. Gesichert ist die App über ein individuelles Kennwort. Die Kommunikation mit der Sparda-Bank läuft dabei über verschlüsselte Schnittstellen ab. <br><br> Preis: kostenlos - PSD Banking
Mit der PSD-Banking-App können Kunden neben ihrem PSD-Bank-Konto auch Konten, die nicht bei der PSD Bank unterhalten werden, verwalten. Auch hier stehen die Funktionen einer Kontoübersicht, der Umsatzanzeige, Überweisungen im Inland und SEPA, Umbuchungen und die Anzeige der nicht abgerechneten Kreditkarten-Umsätze sowie ein Filialfinder zur Verfügung. Auch ein umfangreiches Brokerage-Angebot ist in die App integriert. <br><br> Preis: kostenlos - VR-Banking
Die Gratis-App der Volksbank Raiffeisenbank ermöglicht Kunden Ihre Geldgeschäfte auch unterwegs zu erledigen. Sie erhalten Zugang zu Ihrem Kontostand und den Kreditkartenumsätzen sowie Ihren Wertpapieren. Zudem können Überweisungen und Umbuchungen durchgeführt werden. Über die Multibanking-Funktion erlaubt Ihnen die App sogar, weitere Konten anderer Banken aufzunehmen. Praktisch ist hier auch der Filial- und Geldautomatenfinder, der Sie zuverlässig zu Ihrem Bargeld navigiert. <br><br> Preis: kostenlos - comdirect
Die kostenlose App der Comdirect Bank bietet eine bequeme Möglichkeit unterwegs Bankgeschäfte über Ihr Android-Gerät zu erledigen. Von der einfachen Überweisung bis hin zur Wertpapierverwaltung und einem Geldautomatenfinder erhalten Sie auch die wichtigsten Brokerage Funktionen. Zusätzlich zeigt die App Informationen zu relevanten Marktdaten wie Aktien, Fonds, Zertifikate, Optionsscheine und weitere an. <br><br> Preis: kostenlos - Targobank Mobile Banking
Auch Kunden der Targobank behalten ihre Finanzen mit der Targobank Mobile Banking App im Auge. Zu den Funktionen gehören Kontoübersicht für alle Konten und Karten, die Anzeige von Kontoständen, Kontodetails, Umsätze sowie eine grafische Darstellung dieser und Überweisungstätigkeiten. Auch erhalten Sie einen Überblick über aktuelle Kreditkartenzahlungen und können interne Umbuchungen zwischen Konten mit iTAN durchführen. Mit Routenplaner und Filialfinder können Sie sich sicher sein, jederzeit schnell an Bargeld zu gelangen. <br><br> Preis: kostenlos - Postbank Finanzassistent
Dank dem kostenlosen Postbank Finanzassistenten behalten Sie - egal ob im Urlaub oder vor dem Fernseher - Ihre Finanzen immer im Blick. Die App synchronisiert Ihre Kontodaten, nachdem Sie Ihre Kontonummer und die Online-PIN eingegeben haben. Überweisungen können von unterwegs mit einer mobilen TAN getätigt werden. Sogar Daueraufträge sind so möglich. Ihre Kontoumsätze können Sie verschiedenen Kategorien wie „Wohnung“, „Haushalt“ oder „Benzin“ zuordnen. <br><br> Preis: kostenlos - Deutsche Bank Mobile
Die Deutsche Bank Mobile App verschafft Kunden einen Überblick über Konten, Karten, Depots und Bausparverträge. Die App erlaubt außerdem Inlands- und Terminüberweisung durchzuführen, sowie die Vorlagen- und Lastschriftverwaltung. Neben einem Filialfinder erhalten Sie einen umfassenden Servicebereich und können Spar-, Anlage- und Kontoprodukte abschließen oder ein Depot eröffnen. Die App unterstützt ausserdem den Login per Fingerabdruckscan. <br><br> Preis: kostenlos - Volkswagen Banking
Die Banking-App der Volkswagen Bank ermöglicht Ihnen unterwegs ihren Kontostand zu checken, die letzten Umsätze zu überprüfen oder eine Überweisung durchzuführen. Darüber hinaus erhalten Sie einen Überblick über die Kreditkartenumsätze mit der Volkswagen VISA Card, können Daueraufträge einrichten und ausführen sowie Buchungen auf und vom Tagesgeldkonto vornehmen und Kontoauszüge abrufen. Zudem gibt es einen Filialen- und Geldautomatenfinder um schnell an Bargeld zu gelangen. <br><br> Preis: kostenlos - BBBank - Banking
Für Kunden der BBBank gibt es auch eine Banking-App mit der Sie ihren Kontostand abrufen, letzte Umsätze der Kreditkarte überprüfen und Überweisungen oder Umbuchungen tätigen können. Unterwegs können Sie Überweisungen per QR-Code erledigen, Wertpapiere kaufen oder verkaufen, ihr Depot verwalten oder sich über den Finanzmarkt informieren. Und auch hier führt Sie ein Geldautomatfinder zur nächsten BBBank-Filiale. <br><br> Preis: kostenlos - ING-DiBa Banking + Brokerage
Mit der kostenlosen App der ING-DiBa führen Sie auch von unterwegs Überweisungen aus, legen Daueraufträge an und kaufen oder verkaufen Wertpapiere. Zudem bietet Ihnen die App einen Überblick über die aktuelle Börsenentwicklung sowie die Möglichkeit eine Watchlist für interessante Wertpapiere anzulegen. Dank der Geldautomatensuche gelangen Sie auch in fremden Städten schnell an Bargeld. <br><br> Preis: kostenlos - 1822direct - Banking App
Die App ermöglicht Ihnen Zugriff auf Konten bei der 1822direkt sowie zusätzlich auf andere deutsche Banken und Sparkassen. Mit der 1822direkt-App können Sie Ihren Kontostand prüfen, Umsätze anzeigen, Einzel- und Terminüberweisungen durchführen, Daueraufträge und Vorlagen verwalten oder Auswertungen in Grafik- und Listenform erstellen. Auch diese App hilft Ihnen Geldautomaten in Ihrer Nähe zu finden. <br><br> Preis: kostenlos - HVB Mobile B@nking
Mit der App von der HypoVereinsbank behalten Sie als Kunde den Überblick über ihre Finanzen. Hierfür loggen Sie sich über die Direct B@nking mit Kontonummer und Ihrem Kennwort ein. Neu ist, dass Sie Überweisungen tätigen können. Hierfür kommt das HVB appTAN-Verfahren zum Einsatz bei dem Sie keine TAN-Liste oder ein Zusatzgerät benötigen. Ihren Kontostand können Sie bis zu 90 Tage rückwirkend abrufen. Mit Hilfe des Filialfinders sehen Sie wo sich ein Geldautomat in Ihrer Nähe befindet, um schnell an Bargeld zu gelangen. <br><br> Preis: kostenlos - 123Banking
123Banking ist eine Online Banking App, mit der Sie Konten von verschiedenen HBCI-fähigen und FinTS-Standard unterstützenden Banken gleichzeitig nutzen können. Damit halten Sie alle ihre Finanzen auch unterwegs stets verfügbar und werden über neue Umsätze im Laufe des Tages über eine Push-Nachricht informiert. Einige der unterstützten Banken und Kreditinstitute sind: Sparkasse, Haspa, Postbank, Deutsche Bank, Volksbanken und Raiffeisenbanken, Sparda Bank, DKB, HVB, comdirect, Cortal Consors, 1822direkt, Sofortbank, Norisbank, ING-DiBa, Oyak Anker Bank, Umweltbank, netbank , Bank of Scotland, Commerzbank, Targobank, Santander Bank, BMW Bank, VW Bank und viele mehr. <br><br> Preis: kostenlos - Banking 4A
Mit Banking 4A behalten Sie Ihre Konten bei über 3000 deutschen Kreditinstituten sowie PayPal bankübergreifend im Auge. Konten- und Kreditkartenumsätze lassen sich abrufen, Inlands- und Auslandsüberweisungen sowie Sammelüberweisungen und Sammellastschriften tätigen. Zudem beinhaltet die App eine plattformübergreifende Dropbox-Synchronisierung und Überweisungen können aus QR-Codes abfotografiert werden. Bevor Sie die App kaufen informieren Sie sich unbedingt, ob ihre Bank auch tatsächlich unterstützt wird. <br><br> Preis: 7,99 Euro - apoBank+
Die App apoBank+ ist für alle, die bei der apoBank Kunde sind und den Zugang mit der apoKennung nutzen. Neben der Anzeige Ihrer Kontoumsätze und Statistiken können Überweisungen, Umbuchungen, Dauer- und Sammelaufträge getätigt werden. Durch die "Multibank-Fähigkeit" haben Sie sogar die Möglichkeit andere Banken zu hinterlegen und somit jederzeit alle Konten im Blick – in einer App. Auch apoBank+ bietet eine Geldautomatensuche im Umkreis an. <br><br> Preis: kostenlos - Finanzblick
Die kostenlose Multibanking-App Finanzblick mit Datensynchronisierung unterstützt alle Bankkonten und viele Kreditkarten. So haben Sie alle Konten auf einen Blick in einer App und können ihre Kontostände und Depots mit einem Fingerabdruck oder automatisch bei Start abfragen. Es werden alle TAN-Verfahren unterstützt, womit Sie alle ihre Überweisungen tätigen können. Die Funktion Multi-User ermöglicht die Nutzung der App durch verschiedene Nutzer. Ausgaben und Einnahmen werden nach Kategorien sortiert und am Monatsende miteinander verglichen. Bei Überziehen Ihres Budgets werden Sie alarmiert. Obendrein unterstützt Sie die finanzblick-App auch noch bei der Steuererklärung und erkennt automatisch, welche Buchungen steuerrelevant sind. <br><br> Für die Sicherheit sorgen Auto-Lock bei Inaktivität, eine dauerhafte verschlüsselte Datenbank, ein Passwortschutz über Kennwort oder Pin-Code und eine einstellbare Sperrverzögerung nach Zeit. <br><br> Preis: kostenlos
Wie lässt sich das sicherstellen?
Es müssen Lösungen zum Einsatz kommen, die Frontend- und Backend-Komponenten den Vorgaben von EZB und PSDII entsprechend absichern - durch den Einsatz gehärteter Apps und die Einbindung vertrauenswürdiger Instanzen: einem speziellen Sicherheitsserver, so dass Transaktionen nicht nur über rein lokale App-to-App Kommunikation getätigt werden.
Gehärtete Smartphone-Apps beispielsweise können über eine 2-Faktor-Authentifizierung die digitale Identität eines Nutzers zweifelsfrei bestätigen, sie weisen außerdem einen zweiten sicheren Kommunikationskanal aufweisen und sichern zum anderen die kommunizierten Daten verschlüsselt gegen Hacker-Angriffe ab.
Ein spezieller Security-Server im Backend nimmt dann die Überprüfung vor. Die freizugebenden bzw. zu signierenden Transaktionsdetails werden dabei nicht lokal von der Mobile Banking App zur Security App übertragen, sondern laufen über den Banking Server und den Security-Server und werden von dort aus über den Sicherheitskanal zur Security App weitergeleitet. Dadurch lassen sich Transaktionsdetails serverseitig nochmals prüfen und sie können nicht unbemerkt verändert werden. Auch die Weiterleitung an die Security App findet nur nach eingehender Prüfung des Mobile Devices bzw. der Apps statt.
Eine weitere Sicherheitskomponente stellt eine Virtuelle Smartcard dar. Dieser Signatur-Schlüssel in der Security App wird erst dann kryptographisch freigeschaltet, nachdem der Security-Server eine Reihe von Security Sensoren am Mobile Device beziehungsweise der App erfolgreich überprüft hat, u.a. die Gerätebindung (Besitz und Wissen respektive 2-Faktor-Authentisierung) aber auch die Integritäts-Checks, mit denen Manipulationen an der App erkannt werden.
Über einen dedizierten Sicherheits-Kanal schließlich ist der Signatur Schlüssel in der Security App nicht "lokal" von der Mobile Banking App aus erreichbar: die Mobile Banking App hat keinen direkten Zugriff darauf, sondern nur über den oben beschriebenen "Umweg" über den Sicherheitsserver. Nur authentisch vom SSMS Server (über den Security Kanal) übermittelte Signatur Anfragen werden verarbeitet. (sh)