Banking-Apps werden immer beliebter und auch immer notwendiger. Heutzutage kommen wir kaum noch ohne sie aus. Sie sind praktisch und seriös – bis vor einiger Zeit aber noch ziemlich unsicher. So war es zumindest deutschen Informatikern gelungen, die Sicherheitssoftwares der Apps fürs Online-Banking auszuschalten, auch die der Sparkassen-App. Seitdem hat sich einiges getan. Und auch du selbst kannst dich schützen.
Banking-Apps hatten dieses Problem: So leicht ließen sie sich knacken
Vor vier Jahren wiesen Forscher der Universität Erlangen-Nürnberg darauf hin, dass Banking-Apps nicht so sicher wären wie sie schienen. Gegen versierte Hackerangriffe waren die Online-Banking-Apps unzureichend geschützt. Seither jedoch hat sich in puncto TAN-Verfahren und Verschlüsselung einiges getan.
Damals waren es 31 Apps fürs Online-Banking, die den Forschern zufolge unzureichend geschützt waren. Darunter auch die Sparkassen-App und mobile Anwendungen der Volks- und Raiffeisenbanken sowie der Commerzbank. Den Informatikern der Universität war es gelungen, die Sicherheitssoftware dieser Apps auszuschalten und dadurch Transaktionsvorgänge zu manipulieren, wie auch it-daily.net berichtete.
Die Forscher hatten ein Programm geschrieben, das die Sicherheitsmaßnahmen in weltweit 31 Banking-Apps vollständig deaktiviert. „Wir können damit Apps kopieren, die IBAN ändern und TANs auf beliebige Geräte schicken“, sagte damals ein Beteiligter. Das sei sowohl auf Android-Handys als auch auf iOS-Geräten möglich. Die Universität wies deshalb darauf hin, dass Apps fürs Online-Banking unsicher wären.
Vor allem die Zwei-Faktor-Authentifizierung war Gegenstand der Kritik. So schrieb der selbsternannte Ethical Hacker Ralf Schmitz auf it-daily, dass selbst die Art der Authentifizierung Nachteile habe. Was sei schließlich, wenn ein Handy gestohlen würde oder der Kunde aus anderen Gründen keinen Zugriff auf die Code-Erstellungs-App seiner Bank habe? Ihm zufolge könnten solche Angriffe über die Sparkassen-App und andere Online-Banking-Apps zunehmen.
Zudem wäre das Problem, dass jede Banking-App in den App Stores anders hieße. Das würde Nutzer verwirren. Eine falsch heruntergeladene App könnte Schaden auf dem Handy anrichten, beispielsweise, indem sie Schadsoftware darauf installiert. Einheitliche Standards für alle Banken wären nötig, doch die gäbe es nicht.
Es hat sich was getan: So sicher ist dein Online-Banking heute
Seither ist einiges passiert. Das berichtet jedenfalls Florian Schleicher, Abteilungsleiter Öffentlichkeitsarbeit und interne Kommunikation bei Finanz Informatik, dem IT-Dienstleister der Sparkassen, der unter anderem für die Banking-App des Kreditinstituts verantwortlich ist. Gegenüber Futurezone sagt er: „Aktuelle Sicherheitsprobleme bei Banking-Apps sind uns nicht bekannt.“
Die von der Universität Erlangen-Nürnberg aufgezeigten Sicherheitslücken in den Apps seien bereits vor mehreren Jahren geschlossen worden, und zwar bereits vor der Erstveröffentlichung der Artikel auf it-daily und Schmitz‘ Blog. Die neuen App-Versionen seien von den Schwachstellen nicht betroffen. „Ein Angriff, wie der in den Artikeln vorgestellte, ist damit nicht möglich.“ Es handelte sich bei dem Angriff auch um einen unter Laborbedingungen, für den spezielles Expertenwissen nötig sei, so Schleicher. Das sei zu berücksichtigen.
Auch was die kritisierte Zwei-Faktor-Authentifizierung angehe, haben die meisten Banken Alternativen sowie die Möglichkeit, verlorene oder gestohlene Geräte remote zu deautorisieren. Auch bei der Sparkassen-App sei dies über das Online-Banking möglich. Zudem sorge die neue Zahlungsrichtlinie für Online-Shopping und Online-Banking seit September 2019 für mehr Sicherheit.
Banking-Apps: Das kannst auch du unternehmen
Solltest du doppelt sicher gehen wollen bei deinen Apps fürs Online-Banking, kannst du bei der Einrichtung der Banking-Apps eine Alternative anzugeben. Das sei zwar nicht bei allen Anbietern möglich, wer es kann, solle es jedoch nutzen, schreibt Schmitz. So könne eine Code-SMS an das Zweit-Handy oder das Handy eines Freundes gesendet werden.
Es sei zudem grundsätzlich nicht empfehlenswert, die Erstellung der TAN-Nummern und die Online-Banking-App auf demselben Gerät zu verwenden. „Zwei Apps klingen zwar nach zweifach abgesicherter Authentifizierung, aber es ist keine.“ Schließlich sei von den Forschern aus Erlangen auch die pushTAN-App der Sparkasse gehackt worden.
Aufs mobile Banking zu verzichten, sei für viele Nutzer heute keine Option mehr. Schmitz rät deshalb, einen TAN-Generator wie beim ChipTAN-Verfahren zu nutzen oder genug Barfeld dabei zu haben. Denn: „Erst müssen richtig viele Angriffe in den Rechenzentren verzeichnet werden, bis eine Bank mal reagiert.“ Aber mach dir keine allzu große Panik, schließlich sind die genannten Sicherheitslücken schon vor Jahren geschlossen worden. Neue sind nie auszuschließen, dennoch bist du jetzt schon sicher mit deinem Online-Banking unterwegs.
Auch die Stiftung Warentest hat Banking-Apps untersucht. Sie empfiehlt außerdem diese fünf TAN-Verfahren zu nutzen. Zudem können diese Tipps beim Online-Banking helfen.