Zwei Forscher der Universität Erlangen demonstrieren, wie Hacker eine ganze Reihe gängiger Banking-Apps überlisten können. Für Verbraucher sind das sehr schlechte Nachrichten. Die Unsicherheit ist groß.

Vorsicht: Diese Banking-Apps sind nicht sicher
Bildquelle: iStock

Comdirekt, die Commerzbank, die Sparkassen und andere Institute sind in Deutschland von den Sicherheitslücken in insgesamt 31 Banking-Apps betroffen. IT-Forscher der Uni Erlangen zeigten der Süddeutschen Zeitung, wie sie mit einem Hack Finanzapps überlisten können.

Vincent Haupert und Nicolas Schneider demonstrieren zum Beispiel, wie sich Geld mit dem Smartphone an ein Konto überweisen lässt, das das Smartphone dem Nutzer nie angezeigt hat. Ein Hacker könnte so dafür sorgen, dass Geld auf seinem Konto landet – und das ganz unbemerkt.

Das manipulierte Smartphone schickt Daten vor der Überweisung erst an einen Rechner der IT-Experten. Dort wird die vom Nutzer eingetragene IBAN gegen eine andere getauscht. Auf der App, schreibt die Süddeutsche, wird weiterhin die alte IBAN angezeigt.

In Deutschland sind unter anderen folgende Apps betroffen:

  • Commerzbank
  • Stadtsparkassen
  • Comdirect
  • Fidor Bank
  • Apps vom IT-Dienstleister Fiducia Gad (z.B. Volksbanken-Raiffeisenbanken)
Bilderstrecke starten
16 Bilder
Mit diesen 15 Produktivitäts-Apps für iPad & iPhone arbeitet man noch effizienter

Experten warnen: So unsicher sind Banking-Apps

31 Applikationen ließen sich so überlisten. Wie die Süddeutsche berichtet, können Haupert und Schneider Apps in unerlaubter Softwareumgebung ausführen, kopieren und eingegebene Daten – beispielsweise die IBAN – manipulieren.

Sicherheitslücken ergaben sich auch beim TAN-Verfahren, bei dem Anwender eine einmalige Transaktionsnummer für Überweisungen auf ihr Smarpthone erhalten: Diese Nummern konnten die Forscher an beliebige Endgeräte schicken.

Banking- und TAN-Apps sind das Problem

Gefährlich wird es, wenn sowohl die Banking- als auch TAN-App auf einem Smartphone laufen, schreibt die Süddeutsche. Die Forscher raten insbesondere von der Nutzung der TAN-Apps ab. Es sei unzureichend, sich „für Online-Banking ausschließlich auf das Smartphone zu verlassen“, sagen sie. Gegenüber der Süddeutschen Zeitung erklären die betroffenen Banken, sich die Ergebnisse der Forscher genau anschauen zu wollen.

Finanzapps: Das steckt hinter der Sicherheitslücke

Der Ursprung allen Übels ist in allen Fällen Software-Dienstleister Promon. Alle betroffenen Apps nutzen Promon-Software, die rund 100 Millionen Nutzer weltweit schützen soll. Damit das auch so bleibt, steht man bei Promon inzwischen mit Haupert in Kontakt und will die gefundenen Sicherheitslücken schließen.

Bei einer Konferenz des Chaos Computer Clubs wollen die Forscher aus Erlangen dann noch einen zweiten Hackerangriff demonstrieren. Ziel ist hier ein umfangreiches Sicherheitssystem von Promon. Immerhin: Für den Angriff benötigen selbst Experten mit einer detaillierten Anleitung rund zwei Monate, sagen die Erlanger Forscher. Das Problem bleibt aber bestehen: Weil beinahe der ganze Markt auf Promon setzt, öffnet ein erfolgreicher Angriff viele Türen.

Quelle: Süddeutsche Zeitung

* gesponsorter Link