Gefahrenquelle Mobile Banking
©
Das wissen auch die Banken und haben neben den Einwahldaten und dem Passwort mit der Transaktionsnummer ein weiteres Verfahren eingeführt, um Online-Bankaufträge abzusichern. Mit dem mTAN-, pushTAN-, photoTAN- oder ChipTAN-Verfahren bieten Banken ihren Kunden mittlerweile vielfältige Möglichkeiten, um ihre TANs zu generieren – je nach verfügbarem Gerätetyp, Bequemlichkeitsansprüchen und Laune. Fragt man die Banken, bieten all diese Verfahren höchste Sicherheit und Schutz vor Cyberangriffen und Manipulationen.
Dass Online-Banking jedoch niemals absolut sicher sein kann, beweisen sowohl böswillige Hacker als auch der Aufklärung verschriebene, gutwillige Sicherheitsforscher regelmäßig. So auch die beiden IT-Experten Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität Erlangen-Nürnberg. Im Jahr 2015 konzentrierten sich ihre Hacking-Bemühungen unter anderem auf eine TAN-vermittelnde App eines bekannten deutschen Kreditinstituts, die zusammen mit der regulären Banking-App Online-Banking auf einem einzigen Gerät ermöglicht. Dabei konnte Haupert Sicherheitsmechanismen dieser App, die von einem Software-Modul einer skandinavischen Sicherheitsfirma bereitgestellt werden, deaktivieren und im Anschluss eine Überweisung manipulieren, ohne dass ein Opfer die Manipulation bemerkt. Im vergangenen Herbst ist den Forschern nun der nächste Coup gelungen. Dabei standen die als ebenso sicher geltenden TAN-Apps drei weiterer Banken im Fokus ihrer Untersuchungen. Nachdem es den beiden Forschern gelungen war, eine Schadsoftware auf (wohlgemerkt nicht vom Besitzer gerooteten) Android-Geräten zu installieren, konnten sie Onlineüberweisungen nach Belieben umleiten oder diese selbst erstellen. Voraussetzung für die Manipulation einer Transaktion war jedoch, dass Banking-App und TAN-App auf einem Gerät installiert wurden – und hier liegt auch das Hauptproblem.
Denn bei der Nutzung verschiedener Banking-Anwendungen auf einem einzigen Gerät, umgeht der Nutzer indirekt die eigentlich so wichtige Zwei-Wege-Authentifizierung. Ist dieses eine Gerät nun kompromittiert und mit Schadsoftware infiziert, hat ein Hacker letztlich auf beide Applikationen Zugriff und damit auch die Möglichkeit, Transaktionen zu manipulieren. An infizierten Geräten mangelt es den potenziellen Cyberangreifern dabei nicht, schließlich konnte gefährliche Malware wie etwa Godless oder Hummingbad bereits erfolgreich in den offiziellen Google Play-Store geschmuggelt werden. Experten gehen hier von rund zehn Millionen infizierten Android-Geräten aus, doch auch iOS-Geräte sind von Angriffen dieser Art nicht gefeit.
Nach Bekanntwerden der Sicherheitslücken war der Aufschrei in den Medien groß, die Reaktion der betroffenen Banken und Finanzdienstleister jedoch in einigen Fällen eher zurückhaltend. Einige der Banken beschwichtigten, zeigten sich unwissend oder gaben schlicht an, im Schadensfall den Betroffenen die vollständige Summe zu erstatten. Dies kann jedoch nicht der richtige Weg sein. Fakt ist: Absolute Sicherheit kann es nicht geben, das versteht sich von selbst, daher sind Banken auch nicht zwangsläufig für jeden Cyberangriff verantwortlich zu machen. Und doch müssen sie alles ihnen Erdenkliche unternehmen, um Sicherheitslücken und Schwachstellen in Software und Applikationen zu eliminieren und ihren Kunden somit die größtmögliche Sicherheit zu gewähren – vom Einsatz innovativer Software-Lösungen bis zur Aufklärung und korrekten Unterweisung der Nutzer. Untersuchungen, wie sie Ethical Hacker wie Haupert und Müller durchführen, müssen Banken also eigentlich als großen Gewinn verstehen. Denn es geht ihnen bei weitem nicht darum, die betroffenen Finanzinstitute vorzuführen oder in schlechtes Licht zu rücken, sondern darum, Sicherheitsrisiken im Sinne der Banken und ihrer Kunden sichtbar zu machen. Der direkte Austausch mit den Sicherheitsexperten ist für die betroffenen Institute deshalb eine gute Chance, ihre Banking-Anwendungen noch sicherer zu entwickeln. Das gilt natürlich nicht nur für die Finanzbranche, in Zeiten von Mobile Computing und dem Internet der Dinge sind geschützte Anwendungen auch für Medizingerätehersteller, den Automobilsektor oder kritische Industrieanlagen wichtiger denn je.
Dass Online-Banking jedoch niemals absolut sicher sein kann, beweisen sowohl böswillige Hacker als auch der Aufklärung verschriebene, gutwillige Sicherheitsforscher regelmäßig. So auch die beiden IT-Experten Vincent Haupert und Tilo Müller von der Friedrich-Alexander-Universität Erlangen-Nürnberg. Im Jahr 2015 konzentrierten sich ihre Hacking-Bemühungen unter anderem auf eine TAN-vermittelnde App eines bekannten deutschen Kreditinstituts, die zusammen mit der regulären Banking-App Online-Banking auf einem einzigen Gerät ermöglicht. Dabei konnte Haupert Sicherheitsmechanismen dieser App, die von einem Software-Modul einer skandinavischen Sicherheitsfirma bereitgestellt werden, deaktivieren und im Anschluss eine Überweisung manipulieren, ohne dass ein Opfer die Manipulation bemerkt. Im vergangenen Herbst ist den Forschern nun der nächste Coup gelungen. Dabei standen die als ebenso sicher geltenden TAN-Apps drei weiterer Banken im Fokus ihrer Untersuchungen. Nachdem es den beiden Forschern gelungen war, eine Schadsoftware auf (wohlgemerkt nicht vom Besitzer gerooteten) Android-Geräten zu installieren, konnten sie Onlineüberweisungen nach Belieben umleiten oder diese selbst erstellen. Voraussetzung für die Manipulation einer Transaktion war jedoch, dass Banking-App und TAN-App auf einem Gerät installiert wurden – und hier liegt auch das Hauptproblem.
Denn bei der Nutzung verschiedener Banking-Anwendungen auf einem einzigen Gerät, umgeht der Nutzer indirekt die eigentlich so wichtige Zwei-Wege-Authentifizierung. Ist dieses eine Gerät nun kompromittiert und mit Schadsoftware infiziert, hat ein Hacker letztlich auf beide Applikationen Zugriff und damit auch die Möglichkeit, Transaktionen zu manipulieren. An infizierten Geräten mangelt es den potenziellen Cyberangreifern dabei nicht, schließlich konnte gefährliche Malware wie etwa Godless oder Hummingbad bereits erfolgreich in den offiziellen Google Play-Store geschmuggelt werden. Experten gehen hier von rund zehn Millionen infizierten Android-Geräten aus, doch auch iOS-Geräte sind von Angriffen dieser Art nicht gefeit.
Nach Bekanntwerden der Sicherheitslücken war der Aufschrei in den Medien groß, die Reaktion der betroffenen Banken und Finanzdienstleister jedoch in einigen Fällen eher zurückhaltend. Einige der Banken beschwichtigten, zeigten sich unwissend oder gaben schlicht an, im Schadensfall den Betroffenen die vollständige Summe zu erstatten. Dies kann jedoch nicht der richtige Weg sein. Fakt ist: Absolute Sicherheit kann es nicht geben, das versteht sich von selbst, daher sind Banken auch nicht zwangsläufig für jeden Cyberangriff verantwortlich zu machen. Und doch müssen sie alles ihnen Erdenkliche unternehmen, um Sicherheitslücken und Schwachstellen in Software und Applikationen zu eliminieren und ihren Kunden somit die größtmögliche Sicherheit zu gewähren – vom Einsatz innovativer Software-Lösungen bis zur Aufklärung und korrekten Unterweisung der Nutzer. Untersuchungen, wie sie Ethical Hacker wie Haupert und Müller durchführen, müssen Banken also eigentlich als großen Gewinn verstehen. Denn es geht ihnen bei weitem nicht darum, die betroffenen Finanzinstitute vorzuführen oder in schlechtes Licht zu rücken, sondern darum, Sicherheitsrisiken im Sinne der Banken und ihrer Kunden sichtbar zu machen. Der direkte Austausch mit den Sicherheitsexperten ist für die betroffenen Institute deshalb eine gute Chance, ihre Banking-Anwendungen noch sicherer zu entwickeln. Das gilt natürlich nicht nur für die Finanzbranche, in Zeiten von Mobile Computing und dem Internet der Dinge sind geschützte Anwendungen auch für Medizingerätehersteller, den Automobilsektor oder kritische Industrieanlagen wichtiger denn je.