Girokonto-Apps sind angreifbar

Dienstag den 28.11.2017

Am Terminal die Kontoauszüge zu drucken und sich im Büro von einem Bankmitarbeiter beraten zu lassen: Darauf verzichten immer mehr Bundesbürger. Knapp 30 Prozent der Deutschen nutzen für ihre Bankgeschäfte inzwischen eine Applikation auf dem Smartphone oder dem Tablet-PC. IT-Wissenschaftler haben jetzt allerdings nachgewiesen, dass die Apps angreifbar sind.

Die Schwachstellen der Banking-Apps

Vor möglichen Schwachstellen der Tools warnen die Experten nicht zum ersten Mal. Schon 2016 machten sie darauf aufmerksam, dass es Sicherheitslücken gibt. Jetzt haben die Forscher bei 31 Banking-Apps erneut die Schutzmechanismen überwunden. Sie konnten zum Beispiel Transaktionsnummern (TAN) auf andere Geräte schicken und sich dann Geld auf das eigene Konto überweisen. Der Nutzer selbst bekommt davon nichts mit.

Das hört sich ernst an. Doch selbst mit einer entsprechenden Anleitung würden versierte Hacker knapp zwei Monate benötigen, um die Schutzwälle der Applikation überwinden zu können. Von daher ist mobile Banking durchaus sicher. Das betont auch die Deutsche Kreditwirtschaft: „Uns sind noch keine derartigen technischen Angriffe gegen Banking-Apps in der Praxis und daraus resultierende Schadensfälle bekannt.“

Banken und IT-Wissenschaftler arbeiten zusammen

Nichtsdestotrotz arbeiten die Forscher der Universität Erlangen-Nürnberg inzwischen sehr eng mit den Anbietern der Apps und den Banken zusammen, um gemeinsam nach sicheren Lösungen zu suchen. Viele Banken haben bereits reagiert und eine neue, überarbeitete Version ihrer Banking-App bereitgestellt.

Von den IT-Wissenschaftlern wurden übrigens nur Systeme getestet, bei denen eine Banking-App installiert ist und gleichzeitig das App-TAN-Verfahren genutzt wird. Heißt: Beide Tools befinden sich auf einem Gerät. Seitens der Stadtsparkassen erklärte man dazu: „Das von uns umgesetzte Verfahren, beide Kanäle auf einem Gerät zu nutzen, sehen wir unter Abwägung von Risiko und Kundennutzen als geeignet an.“

Das Bundesamt für Information und Sicherheit sieht das anders. „Sichere TAN-Verfahren nutzen einen zweiten Faktor und eine zusätzliche Hardware, die nicht das Smartphone ist.“ Als Beispiele nennen die Experten das Chip-TAN-Verfahren und das HBCI-Verfahren. Wichtig ist, dass weiter an der Sicherheit gearbeitet wird und auch die Kunden sich an die wichtigsten Sicherheitsregeln halten.