Mit der Komplexität und Verbreitung eines Systems wächst auch dessen Anfälligkeit gegenüber Viren und Schadsoftware, was nicht zuletzt Banking-Trojaner einschließt. Während vor zehn Jahren noch fast ausschließlich Systeme mit Windows von Viren betroffen waren, so sind es heute zunehmend mobile Systeme mit Android und iOS, die in den Fokus der Virenschreiber rücken. Bei der Vielfalt von Systemen und Bedrohungen scheint es für die Banken heute daher unmöglich ein sauberes, vertrauenswürdiges Endgerät auf Seiten ihrer Onlinebanking-Kunden vorauszusetzen.

Daher werden im Onlinebanking so genannte TAN-Verfahren eingesetzt, um Nutzer auch dann vor finanziellen Schäden schützen zu können, wenn sie ihre Bankgeschäfte einmal auf nicht-vertrauenswürdigen Geräten getätigt haben. Zu den Möglichkeiten moderner Banking-Trojaner zählen aber nicht mehr nur das Mitschneiden von Benutzernamen, Passwörtern und TANs, sondern auch die verdeckte Manipulation von Überweisungsdaten. Bei der Manipulation von Überweisungsdaten bestätigt das Betrugsopfer eine scheinbar korrekte Transaktion per TAN und merkt nicht, dass sein Überweisungbetrag und -empfänger im Hintergrund verändert wurden.

Während klassische Listen-basierte TAN-Verfahren diesem Angriff nichts entgegenzusetzen wissen, haben sich moderne TAN-Verfahren zum Ziel gesetzt, solche verdeckten Manipulationen zu verhindern. Bereits 2006 wurde daher das heute etablierte chipTAN-Verfahren eingeführt, das die Information über Empfänger und Betrag fest an eine TAN koppelt. Beim chipTAN-Verfahren wird der Benutzer aufgefordert seine Überweisungsdaten in einem separaten, vertrauenswürdigen TAN-Generator einzugeben, der mit der perönlichen Bankkarte des Nutzers eine TAN erzeugt. Die generierte TAN ist ausschließlich für die verwendeten Überweisungsdaten gültig und kann nicht für manipulierte Transaktionen missbraucht werden.

Zwar gilt dieses chipTAN-Verfahren als sicher, doch weil viele Nutzer es als lästig empfinden, ein zweites Gerät für ihre Überweisungen verwenden zu müssen, führen eine Reihe deutscher Geldhäuser, darunter die Hypovereinsbank, die Sparkassen, die DKB und die VR-Banken, zur Zeit ein ein neues Verfahren ein, das mobiles Onlinebanking auf dem Smartphone ermöglicht. Für dieses Verfahren sind zwei Apps nötig. In einem ersten Schritt gibt man auf der ersten App die Überweisungsdaten ein. Diese Daten werden an die Bank übermittelt, die daraus eine TAN berechnet und an die zweite App auf dem Smartphone sendet. Im zweiten Schritt muss der Benutzer die TAN aus der zweiten App in die erste App übertragen, um die Überweisung abzuschließen. Auf iOS- und Android-Geräten wird damit Onlinebanking auf einem einzigen Gerät ermöglicht – und das mutmaßlich ohne Sicherheitseinbußen im Vergleich zu etablierten Verfahren.

Vincent Haupert und Tilo Müller, Mitarbeiter am Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) der FAU, konnten nun allerdings nachweisen, dass das neue Verfahren in Sachen Sicherheit einen Rückschritt bedeutet. Das Verfahren opfert die hohen Sicherheitsstandards, wie sie bei etablierten Verfahren wie dem chipTAN-Verfahren zu finden sind, zugunsten des Komforts. Dies sei zwar legitim, so die beiden Forscher, allerdings dürfe man in der Werbung nicht suggerieren, dass es das gleiche Sicherheitsniveau biete wie chipTAN.

Zur Demonstration ihrer Behauptung haben Haupert und Müller einen Angriff auf das neue App-basierte Verfahren eines großen deutschen Finanzverbundes durchgeführt, bei dem manipulierte Transaktionen per App bestätigt wurden. Im Detail haben die beiden Autoren eine Transaktionssumme von 0,10 auf 13,37 EUR erhöhen und den Empfänger der Überweisung nach Belieben verändern können, ohne dass dies für das (fiktive) Opfer erkennbar gewesen wäre. Aufgrund der Schutzmechanismen der verwendeten Apps sei der Angriff technisch anspruchsvoll gewesen und habe eine mehrwöchige Analyse erfordert. Für den Erfolg des Angriffes muss zudem Schadcode auf dem Überweisungsgerät des Opfers ausgeführt werden. Dies sei aber genau das Szenario, wovor aktuelle TAN-Verfahren schützen, so die beiden Forscher.

Die Sicherheitsprobleme eines solchen App-basierten TAN-Verfahrens sind nicht durch verbesserte Programmierung lösbar, sondern sie liegen in der Struktur des Verfahrens begründet, nämlich einer konzeptionell schwachen „Zwei-Faktor-Authentifikation“. Wenn eine Überweisung auf demselben Gerät ausgelöst wird, das auch die Generierung und den Empfang von TANs verwaltet, so könne dieses Verfahren prinzipiell nicht vor Banking-Trojanern schützen. Ein Banking-Trojaner, der mit Systemrechten läuft und damit in einer höheren Privilegierungsebene als die verwendeten Apps selbst, sei immer in der Lage sämtliche Schutzmechanismen auszuhebeln. Umso erschreckender sei es, so Haupert und Müller, dass der TÜV das neue Verfahren, trotz seiner offensichtlichen Design-Schwächen, als besonders sicher eingestuft und zertifiziert hat.

Das Fazit der beiden IT-Sicherheitsexperten: Zwar müssen nicht alle Nutzer der neuen App-basierten TAN-Verfahren jetzt auf der Stelle um ihr Erspartes fürchten, insbesondere dann nicht, wenn sie guten Grund zur Annahme haben, dass auf ihrem Endgerät kein Schadcode ausgeführt wird. Sie sollten jedoch offen über das erhöhte Gefährdungspotential informiert werden, um selbst entscheiden zu können, welches TAN-Verfahrens sie sich für ihre Online-Bankgeschäfte bedienen wollen.

Quelle: Friedrich-Alexander-Universität Erlangen-Nürnberg (idw)