Software-Schutz genügt nicht

Informatiker warnt vor Mobile Banking mit nur einer App

+
Informatiker halten eine Zwei-Geräte-Authentifizierung beim Smartphone-Banking für sicherer als nur eine App. Die TAN-Daten werden dabei getrennt übermittelt. Foto: Lino Mirgeler/dpa

Wer mit seinem Smartphone Bankgeschäfte tätigt, sollte sich nicht allein auf eine App verlassen. Dazu raten Informatiker auf dem Kongress des Chaos Computer Clubs in Leipzig.

Leipzig (dpa) - Die zunehmende Benutzerfreundlichkeit beim Online-Banking mit dem Smartphone geht nach Überzeugung von Informatikern der Universität Erlangen-Nürnberg zwangsläufig auf Kosten der Sicherheit.

Der Trend zur Nutzung von Online-Banking mit nur einer App berge die Gefahr von Betrug und Manipulationen etwa bei Überweisungen, warnte der Doktorand Vincent Haupert auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Zusammen mit Nicolas Schneider entwickelte Haupert ein Verfahren, um eine von etlichen Banken und Sparkassen für ihre Apps verwendete Sicherungstechnik eines externen Anbieters auszuschalten. Über dieses ziemlich komplexe Verfahren hatte Ende November bereits die "Süddeutsche Zeitung" berichtet.

Auf dem 34. Chaos Communication Congress (34C3) demonstrierte Haupert nun, wie er eine Konfigurationsdatei manipulieren - "hey, da schreiben wir überall Nullen rein" - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern.

Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutzsoftware. Bislang seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Jedoch sei er überzeugt, dass eine "App-Härtung" über einen zusätzlichen Software-Schutz kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, sagte Haupert.

Auf dem 34. Chaos Communication Congress (34c3) beschäftigen sich rund 15 000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computertechnik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt, er gilt als größter Hackerkongress in Europa.

Kongressprogramm

Das könnte Sie auch interessieren

Mehr zum Thema:

Vulkan Kilauea bringt Hawaii durch giftiges Gas neue Gefahr

Vulkan Kilauea bringt Hawaii durch giftiges Gas neue Gefahr

Mühlentag an der Stührmühle

Mühlentag an der Stührmühle

Große Resonanz beim Mühlentag in Labbus

Große Resonanz beim Mühlentag in Labbus

Mühlenfest in Eystrup

Mühlenfest in Eystrup

Meistgelesene Artikel

Falsches Google-Gewinnspiel oder angebliche Virenwarnung: So schützen Sie sich

Falsches Google-Gewinnspiel oder angebliche Virenwarnung: So schützen Sie sich

TV-Königsklasse: OLED-Fernseher im Test

TV-Königsklasse: OLED-Fernseher im Test

Modernes Arbeiten: Das kann das Konferenzsystem Surface Hub 2 von Microsoft

Modernes Arbeiten: Das kann das Konferenzsystem Surface Hub 2 von Microsoft

Konkurrenz für Spotify? Das ist Googles neuer Plan beim Musik-Streaming

Konkurrenz für Spotify? Das ist Googles neuer Plan beim Musik-Streaming

Kommentare