Software-Schutz genügt nicht

Informatiker warnt vor Mobile Banking mit nur einer App

+
Informatiker halten eine Zwei-Geräte-Authentifizierung beim Smartphone-Banking für sicherer als nur eine App. Die TAN-Daten werden dabei getrennt übermittelt. Foto: Lino Mirgeler/dpa

Wer mit seinem Smartphone Bankgeschäfte tätigt, sollte sich nicht allein auf eine App verlassen. Dazu raten Informatiker auf dem Kongress des Chaos Computer Clubs in Leipzig.

Leipzig (dpa) - Die zunehmende Benutzerfreundlichkeit beim Online-Banking mit dem Smartphone geht nach Überzeugung von Informatikern der Universität Erlangen-Nürnberg zwangsläufig auf Kosten der Sicherheit.

Der Trend zur Nutzung von Online-Banking mit nur einer App berge die Gefahr von Betrug und Manipulationen etwa bei Überweisungen, warnte der Doktorand Vincent Haupert auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Zusammen mit Nicolas Schneider entwickelte Haupert ein Verfahren, um eine von etlichen Banken und Sparkassen für ihre Apps verwendete Sicherungstechnik eines externen Anbieters auszuschalten. Über dieses ziemlich komplexe Verfahren hatte Ende November bereits die "Süddeutsche Zeitung" berichtet.

Auf dem 34. Chaos Communication Congress (34C3) demonstrierte Haupert nun, wie er eine Konfigurationsdatei manipulieren - "hey, da schreiben wir überall Nullen rein" - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern.

Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutzsoftware. Bislang seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Jedoch sei er überzeugt, dass eine "App-Härtung" über einen zusätzlichen Software-Schutz kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, sagte Haupert.

Auf dem 34. Chaos Communication Congress (34c3) beschäftigen sich rund 15 000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computertechnik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt, er gilt als größter Hackerkongress in Europa.

Kongressprogramm

Das könnte Sie auch interessieren

Mehr zum Thema:

Tatort Hauptbahnhof Köln: Polizei prüft Terror-Hintergrund

Tatort Hauptbahnhof Köln: Polizei prüft Terror-Hintergrund

Diese sechs Gruselschocker sorgen für Halloween-Stimmung

Diese sechs Gruselschocker sorgen für Halloween-Stimmung

Der Opel Kapitän feiert Geburtstag

Der Opel Kapitän feiert Geburtstag

Was Gaming-Smartphones zu bieten haben

Was Gaming-Smartphones zu bieten haben

Meistgelesene Artikel

WhatsApp: Sicherheitslücke in Messenger-App zwingt unzählige Nutzer zu Update

WhatsApp: Sicherheitslücke in Messenger-App zwingt unzählige Nutzer zu Update

Achtung: WhatsApp löscht Fotos und Videos der Nutzer - das müssen Sie wissen

Achtung: WhatsApp löscht Fotos und Videos der Nutzer - das müssen Sie wissen

Kann ich eine Whatsapp-Gruppe unauffällig verlassen?

Kann ich eine Whatsapp-Gruppe unauffällig verlassen?

Abgedreht: Camcorder im Test

Abgedreht: Camcorder im Test

Kommentare