Software-Schutz genügt nicht

Informatiker warnt vor Mobile Banking mit nur einer App

+
Informatiker halten eine Zwei-Geräte-Authentifizierung beim Smartphone-Banking für sicherer als nur eine App. Die TAN-Daten werden dabei getrennt übermittelt. Foto: Lino Mirgeler/dpa

Wer mit seinem Smartphone Bankgeschäfte tätigt, sollte sich nicht allein auf eine App verlassen. Dazu raten Informatiker auf dem Kongress des Chaos Computer Clubs in Leipzig.

Leipzig (dpa) - Die zunehmende Benutzerfreundlichkeit beim Online-Banking mit dem Smartphone geht nach Überzeugung von Informatikern der Universität Erlangen-Nürnberg zwangsläufig auf Kosten der Sicherheit.

Der Trend zur Nutzung von Online-Banking mit nur einer App berge die Gefahr von Betrug und Manipulationen etwa bei Überweisungen, warnte der Doktorand Vincent Haupert auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Zusammen mit Nicolas Schneider entwickelte Haupert ein Verfahren, um eine von etlichen Banken und Sparkassen für ihre Apps verwendete Sicherungstechnik eines externen Anbieters auszuschalten. Über dieses ziemlich komplexe Verfahren hatte Ende November bereits die "Süddeutsche Zeitung" berichtet.

Auf dem 34. Chaos Communication Congress (34C3) demonstrierte Haupert nun, wie er eine Konfigurationsdatei manipulieren - "hey, da schreiben wir überall Nullen rein" - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern.

Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutzsoftware. Bislang seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Jedoch sei er überzeugt, dass eine "App-Härtung" über einen zusätzlichen Software-Schutz kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, sagte Haupert.

Auf dem 34. Chaos Communication Congress (34c3) beschäftigen sich rund 15 000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computertechnik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt, er gilt als größter Hackerkongress in Europa.

Kongressprogramm

Das könnte Sie auch interessieren

Kommentare

Ab dem 25.5.2018 gilt die Datenschutzgrundverordnung. Dazu haben wir unser Kommentarsystem geändert. Um kommentieren zu können, müssen Sie sich bei unserem Dienstleister DISQUS anmelden. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Nutzer, die sich über den alten Portal-Login angemeldet haben, müssen sich bitte einmalig direkt bei DISQUS neu anmelden.

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken.

Die Redaktion

Kommentare

Hinweise zum Kommentieren:
In der Zeit zwischen 17 und 9 Uhr werden keine neuen Beiträge freigeschaltet.

Auf HNA.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.

Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.