31 Banking-Apps weisen eklatante Sicherheitslücken auf

Forscher der Friedrich-Alexander-Universität Erlangen haben in 31 Banking-Apps eklatante Sicherheitslücken gefunden. Betroffen sind unter anderem auch die Online-Banking-Apps der Commerzbank, der Stadtsparkassen, von Comdirect sowie der Fidor Bank. Die Ursache ist eine Lücke bei einem externen Dienstleister, der ironischerweise eigentlich die Sicherheit erhöhen soll. Über die Lücke wäre es Kriminellen möglich eine Überweisung zu einem anderen Konto zu führen, ohne das jenes beim Vorgang für den Inhaber des Kontos ersichtlich wäre. Es ware den Forschern möglich die IBAN-Nummer beim Überweisen zu ändern, TAN an andere Geräte umzuleiten und sogar die ganze Banking-App zu kopieren. Damit der Angriff ausgeführt werden kann, müssen die Anwender jedoch sowohl ihre Banking- als auch ihre TAN-App auf demselben Smartphone verwenden. Das dürfte allerdings bei dem Gros der Kunden der Fall sein.

Die Ursache liegt in einer Sicherheitslücke beim Dienstleister Promon. Den Wissenschaftlern ist es gelungen herauszufinden, wie der Dienstleister exakt die Sicherheit gewährleisten will und daher konnte man alle Schutzmaßnahmen aufgrund jener Detailkenntnisse umgehen. Ende des Jahres will man alle Informationen auf einer Konferenz des Chaos Computer Club präsentieren. Den Code will man aus Sicherheitsgründen aber natürlich nicht veröffentlichen.

Sprecher der Banken haben geäußert, dass der Angriff der Forscher extrem komplex sei. Enttäuscht sind die Banken darüber, dass die Forscher der Friedrich-Alexander-Universität Erlangen das Sicherheitsproblem öffentlich zu erkennen gegeben haben, statt zunächst die Chance einzuräumen, es zu beheben. Allerdings bemängeln die Wissenschaftler, dass dies im Grunde nie zu 100 % möglich sein werde. Denn solange die Banken zuließen, dass das gesamte Banking an einem einzelnen, mobilen Endgerät ablaufen könne, ergebe sich allein aus diesem Konzept ein hohes Risiko.

Quelle: Süddeutsche Zeitung