Sicherheitsforscher: photoTAN ist nicht sicher

Vincent Haupert und Tilo Müller von der Technischen Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg haben gleich mehrere Manipulationsmöglichkeiten in den von der Deutschen Bank, der Commerzbank und der Norisbank angebotenen Banking-Apps entdeckt. Ihrem Forschungsbericht zufolge konnten sie bei den Anwendungen der drei Kreditinstitute Transaktionen manipulieren.

Außerdem gelang es ihnen für die App der Commerzbank eine sogenannte photoTAN zu replizieren und zu manipulieren. Das Kopieren der photoTAn ist ihnen zufolge zudem auch bei der comdirect-Bank möglich. Damit kann die Überweisung dann zu einem späteren, vom Angreifer gewählten Zeitpunkt vorgenommen werden. In allen Fällen stellt der Kontoinhaber während des Angriffs keinerlei Unregelmäßigkeiten fest – die bemerkt er erst später, beim Blick auf den Kontostand.

Beispiel für eine der beim photoTAN-Verfahren genutzen Grafiken (Bild: Cronto Ltd.)

Haupert und Müller schildern ihre Angriffsmethode in Videos auf der Website der Universität. Ihr Ziel ist es aufzuzeigen, dass App-basierende Authentifizierungsmethoden, die zunehmend etablierte Methoden wie das chipTAN-Verfahren ersetzen sollen, nicht dasselbe Sicherheitsniveau bieten. Grund dafür ist den Forschern zufolge, dass die neuartigen Authentifizierungs-Apps auf Mehrzweckgeräten wie Smartphones und Tablets laufen und daher auch allen Gefahren ausgesetzt sind, die diese Geräte bedrohen. Das gilt insbesondere, wenn die Online-Banking-App und die Authentifizierungs-App auf demselben Gerät laufen.

Mit dem photoTAN-Verfahren wird die bisherige Transaktionsnummer (TAN) durch eine Grafik ersetzt. Dieses von ihrem Entwickler, der inzwischen zu Vasco gehörenden britischen Firma Cronto, als “visuelles Kryptogramm” bezeichnete Grafik dient zur Verschlüsselung von Auftragsdaten und TAN. Die Grafik wird mit der Kamera des Smartphones eingescannt, von der Authentifizierungs-App entschlüsselt und angezeigt. Die so für Menschen lesbar gemachten Eingaben lassen sich dann überprüfen. Außerdem kann die damit gelieferte Transaktionsnummer dann eingegeben werden.

“Sicher überweisen mit photoTAN – ohne zusätzliche Tan-Liste” wirbt die Deutsche Bank auf ihrer Website (Screenshot: silicon.de)

Während beim chipTAN-Verfahren ein zweites, spezielles Gerät erforderlich ist oder andere Banken, etwa die Postbank, die TAN auf einem zweiten Kommunikationsweg (per SMS) zusenden, findet beim photoTAN-Verfahren mit einem mobilen Endgerät der gesamte Prozess auf einem Gerät statt. Die Daten werden lediglich von App zu App weitergereicht und sind auf diesem Weg durch Malware auf dem Gerät abfangbar respektive lässt sich die Kommunikation der Apps umleiten. Die Apps interagieren dann nicht mehr mit den Servern der Bank, sondern den Servern der Angreifer.

Auch die Norisbank stellt in ihrer Beschreibung des photoTAN-Verfahrens Sicherheit und Einfachheit in den Vordergrund (Screenshot: silicon.de)

Gegenüber der Süddeutschen Zeitung haben Sprecher von Deutscher Bank und Norisbank erklärt: “Richtig angewendet sind alle Legitimationsverfahren sicher.” Kunden würden nach eigenen Präferenzen entscheiden, welches Verfahren ihnen zusage.

Dem Blatt gegenüber begründen Haupert und Müller die Veröffentlichung ihrer Forschungsergebnisse, ohne zuvor die Betroffenen zu informieren damit, dass es sich nicht um ein technisches, sondern ein konzeptionelles Problem handle. “Die Unternehmen wissen das alles. Sie haben sich dazu entschieden, diese Option trotzdem anzubieten”, so Haupert.

Die Commerzbank bestreitet das: Sie wisse von dem Angriff nichts. Sie bietet auf ihrer Website aktuell noch eine Sicherheits-Garantie: “In unserem Online Banking bieten wir Ihnen mit dem photoTAN-Verfahren die größtmögliche Sicherheit. Das garantieren wir Ihnen. Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden”, so das Unternehmen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago