Software-Schutz genügt nicht

Informatiker warnt vor Mobile Banking mit nur einer App

+
Informatiker halten eine Zwei-Geräte-Authentifizierung beim Smartphone-Banking für sicherer als nur eine App. Die TAN-Daten werden dabei getrennt übermittelt. Foto: Lino Mirgeler/dpa

Wer mit seinem Smartphone Bankgeschäfte tätigt, sollte sich nicht allein auf eine App verlassen. Dazu raten Informatiker auf dem Kongress des Chaos Computer Clubs in Leipzig.

Leipzig (dpa) - Die zunehmende Benutzerfreundlichkeit beim Online-Banking mit dem Smartphone geht nach Überzeugung von Informatikern der Universität Erlangen-Nürnberg zwangsläufig auf Kosten der Sicherheit.

Der Trend zur Nutzung von Online-Banking mit nur einer App berge die Gefahr von Betrug und Manipulationen etwa bei Überweisungen, warnte der Doktorand Vincent Haupert auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Zusammen mit Nicolas Schneider entwickelte Haupert ein Verfahren, um eine von etlichen Banken und Sparkassen für ihre Apps verwendete Sicherungstechnik eines externen Anbieters auszuschalten. Über dieses ziemlich komplexe Verfahren hatte Ende November bereits die "Süddeutsche Zeitung" berichtet.

Auf dem 34. Chaos Communication Congress (34C3) demonstrierte Haupert nun, wie er eine Konfigurationsdatei manipulieren - "hey, da schreiben wir überall Nullen rein" - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern.

Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutzsoftware. Bislang seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Jedoch sei er überzeugt, dass eine "App-Härtung" über einen zusätzlichen Software-Schutz kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, sagte Haupert.

Auf dem 34. Chaos Communication Congress (34c3) beschäftigen sich rund 15 000 Teilnehmer bis Samstag in Vorträgen und Workshops mit Schwachstellen von Computertechnik und Internet-Anwendungen sowie mit aktuellen politischen Themen. Der Kongress findet nach fünf Jahren in Hamburg zum ersten Mal in Leipzig statt, er gilt als größter Hackerkongress in Europa.

Kongressprogramm

Das könnte Sie auch interessieren

Mehr zum Thema:

Griechenland sagt Deutschland Rücknahme von Flüchtlingen zu

Griechenland sagt Deutschland Rücknahme von Flüchtlingen zu

Fernbus kippt um - 22 Verletzte bei Unfall nahe Rostock

Fernbus kippt um - 22 Verletzte bei Unfall nahe Rostock

Brückeneinsturz: Ursachensuche und Schuldzuweisungen

Brückeneinsturz: Ursachensuche und Schuldzuweisungen

Verhärtete Fronten im Streit zwischen USA und Türkei

Verhärtete Fronten im Streit zwischen USA und Türkei

Meistgelesene Artikel

„Momo“ bei WhatsApp: Vor dieser Horror-Nachricht warnt die Polizei

„Momo“ bei WhatsApp: Vor dieser Horror-Nachricht warnt die Polizei

„Momo“-Challenge bei WhatsApp: Polizei warnt vor Selbstmord-Spiel

„Momo“-Challenge bei WhatsApp: Polizei warnt vor Selbstmord-Spiel

Kommentare