31 Banken betroffen: Sicherheitsforscher demonstriert Angriff auf PushTAN-Verfahren
In Zeiten, in denen ganze Banken inzwischen nur noch in der Cloud und in Apps existieren, scheinen sich nur noch wenige Menschen wirklich Gedanken um die Sicherheit zu machen. Insofern ist jedem, der hier ein wenig auf dem Laufenden bleiben möchte, ein Blick in die Süddeutsche Zeitung empfohlen. Hier wird nämlich gleich 31 Apps für das Onlinebanking eine Sicherheitslücke nachgewiesen, die im Wesentlichen vom sogenannten PushTAN-Verfahren herrührt. Einem Sicherheitsforscher ist es gelungen, bei der Übertragung der TAN auf das Endgerät eine sogenannte "Man in the Middle"-Attacke durchzuführen, bei der sich ein Angreifer zwischen die beiden eigentlichen Kommunikationspartner klemmt und sich als einer der beiden ausgibt.
Panik ist allerdings aktuell noch nicht angebracht. Zwar ist der Angriff nachweislich möglich, allerdings müssen hierfür gleich mehrere Voraussetzungen erfüllt sein. Unter anderem muss die App zum Empfang der TAN auf demselben Gerät installiert sein, auf der auch das Banking durchgeführt wird. In diesem Fall sind zwar gleich mehrere namhafte Banken wie die Commerzbank, sämtliche Sparkassen, die Comdirect oder die Fidor Bank mit ihren hauseigenen Apps betroffen, allerdings ist der Aufwand, der für den Angriff betrieben werden muss sehr hoch.
Weitere Details will der in dem Artikel zitierte Sicherheitsforscher auf der Jahreskonferenz des Chaos Computer Club im kommenden Monat präsentieren. Unter anderem ist bislang noch nicht geklärt, ob von dem potenziellen Angriff sämtliche mobile Endgeräte betroffen sind oder ob iOS aufgrund des Sandbox-Systems hiervon überhaupt betroffen ist.