Meine Meinung – PushTAN gehackt – was nun?

Hacker trickst pushTAN-App der Sparkasse aus“ (ZEIT Online) oder „Sparkassen-App für pushTAN-Verfahren wieder gehackt“ (Golem.de) – die Presse überschlägt sich mit Negativmeldungen zum pushTAN-Verfahren und auch auf Twitter wird das Thema – teils mit viel Spott – getweetet. Hintergrund ist ein Aufsatz von Vincent Haupert und Tilo Müller, der sich mit den konzeptionellen Schwächen des App-basierten TAN-Verfahrens beschäftigt und auf dem 32. Chaos Communication Congress (32c3) vorgestellt wurde. Was nun?


Konzeptionelle Schwäche des App-basierten Verfahrens

Der Aufsatz geht davon aus, dass die erste Sicherheitsstufe mit Benutzerkennung und PIN bereits kompromittiert ist. Das ist insofern sinnvoll, als dass nur dann die Sicherheit des TAN-Verfahrens überhaupt relevant ist, und erklärt die Wichtigkeit einer Zwei-Faktor-Authentifikation im Online-Banking.

Nach einer einleitenden Sicherheitsanalyse der Sparkassen-App (als Mobile-Banking-Client) sowie der pushTAN-App zeigen Haupert und Müller vier verschiedene theoretische Angriffsmöglichkeiten, die sich daraus ergeben, dass beide Apps auf ein und demselben Endgerät genutzt werden. Diese setzen zwar Root-Rechte voraus, vor denen die Sparkassen-App warnt und bei denen die pushTAN-App grundsätzlich den Dienst verweigert. Gerade auf Android-Systemen finden sich aber ausreichend viele Exploits, mit denen sich Schadprogramme unbemerkt von Nutzer und Apps Root-Rechte verschaffen können.

Mit diesen ausgestattet ist den es Sicherheitsexperten gelungen, die Kommunikation zwischen den Apps so zu manipulieren, dass sie sämtliche Daten einer Überweisung zu ihren Gunsten abändern konnten, ohne dass die Sparkassen-App dieses bemerkte. Der Anwender hat keine Chance, diesen Eingriff zu bemerken, da die App die ursprünglichen Überweisungsdaten zurück meldet, nicht die manipulierten. Der ahnungslose Kunde bemerkt den Betrug also erst, wenn es zu spät ist: auf dem Kontoauszug.

Der vorgestellte Angriff wurde mit einer älteren Version der beiden genannten Apps durchgeführt und funktioniert in dieser Form nicht mehr mit den aktuellen Versionen. Allerdings wird darauf verwiesen, dass auch die neuen Versionen mit entsprechendem Mehraufwand mit den selben Methoden geknackt werden können, da das Problem ein konzeptionelles sei.

Kritik an der pushTAN-Studie

Die Studie ist natürlich grundsätzlich zu begrüßen. Wenn gute gesinnte Hacker dieses Verfahren knacken können, werden es professionelle Cyber-Kriminelle wohl ebenso schaffen. Deshalb ist es gut und sinnvoll, eingesetzte Sicherheitsverfahren zu prüfen und kritisch zu hinterfragen. Nur so können Banken und Kunden angemessen Nutzen und Risiko eines Verfahren abschätzen und sich entscheiden.

Allerdings ist anzumerken, dass die grundsätzliche Kritik des Aufsatzes die ist, dass mit der pushTAN-App die Zwei-Wege-Authentifikation ausgehebelt würde. Das gilt allerdings ausschließlich für das Mobile Banking per Smartphone oder Tablet, also immer dann, wenn beide Apps auf ein und demselben Endgerät laufen. Wird die pushTAN-App auf dem Smartphone als Sicherheitsmedium für das Online-Banking am heimischen PC genutzt, bleibt die Kanaltrennung gewahrt. Ebenso verhält es sich, wenn zum Mobile Banking die Sparkassen-App auf dem Tablet und die pushTAN-App auf dem Smartphone genutzt wird.

Zudem ist zu beachten, dass diese grundsätzlichen Erwägungen ebenso für das noch verbreitetere smsTAN-Verfahren gelten. Dieses ist – obwohl stark verbreitet – noch deutlich unsicherer. Die Nutzungsbedingungen der Banken und Sparkassen verbieten zwar regelmäßig die Nutzung von smsTAN auf einem Endgerät, technisch unterbunden wird die Nutzung aber selten. Insofern stellt die pushTAN hier zumindest das kleinere Übel dar. Die chipTAN, von den Autoren der Studie als sicher eingestuft, ist dagegen gerade für das mobile Banking eher unkomfortabel.

Was nun zu tun ist

Was bedeuten die Ergebnisse der Studie nun für den normalen Bankkunden in der täglichen Praxis? Zunächst einmal zeigt die Studie einmal mehr, dass ein Mehr an Komfort regelmäßig zu Lasten der Sicherheit geht. Das chipTAN-Verfahren gilt zwar auch weiterhin als sehr sicher, ist aber – zumindest für das mobile Banking – eher unpraktisch, muss der Kartenleser doch immer mitgeführt werden. Mit smsTAN und pushTAN stehen zwar deutlich komfortablere Verfahren zur Verfügung – aber nur um den Preis einer eingeschränkten Sicherheit.

Kunden, die auf Nummer sicher gehen wollen, sollten sich nun also doch für das sicherere chipTAN-Verfahren entscheiden oder – wenn sie weiterhin smsTAN oder pushTAN nutzen, dieses im Zwei-Wege-Verfahren z.B. für das Online-Banking am heimischen PC oder das separate Tablet verwenden.

Wer auf den lieb gewonnenen Komfort der pushTAN im Mobile Banking nicht verzichten möchte, wird damit aber wohl auch weiterhin kein ernsthaftes Problem haben. Denn solange Banken und Sparkassen ein TAN-Verfahren als Sicherheitsmedium anbieten, werden sie Schadensfälle, die aus dessen konzeptioneller Unsicherheit resultieren, immer gegen sich gelten lassen müssen. Solange der Kunde seine Sorgfaltspflichten nicht grob fahrlässig missachtet hat, dürfte er also wohl auch weiterhin keinen finanziellen Schaden davon tragen.

In der Praxis wird sich für Nutzer der pushTAN daher wohl zunächst nichts ändern.

Veröffentlicht in Meinung und verschlagwortet mit , , , , , , , .