Umleitung von Überweisungen möglich
PushTAN-Verfahren in der Kritik: „31 Banking-Apps anfällig für Hacker“
Diesen Artikel der Süddeutschen Zeitung könnt ihr eurem Bankberater schicken, wenn dieser euch das nächste Mal erzählt, dass das PushTAN-Verfahren absolut sicher ist. Ein IT-Fachmann weist nach, dass sich auch hier eine sogenannte „Man in the Middle“-Attacke durchführen lässt und zählt 31 Online-Banking-Apps, die seiner Meinung nach gefährdet sind.
Die 31 von namhaften Banken wie der Commerzbank, Sparkassen, Comdirect oder der Fidor Bank herausgegebenen Apps setzen allesamt auf das gleiche und offenbar nicht zu 100 Prozent sichere Basissystem des IT-Anbieters Promon. Schnell erklärt funktioniert dies so, dass ihr über vom Rechner oder auch Mobilgerät aus eine Überweisung startet, und die benötigte TAN dann in einer separaten App angezeigt bekommt, beispielsweise die PushTAN-App der Sparkassen.
Gefährdet sind dem Bericht zufolge allerdings nur Nutzer, die Banking- und TAN-App auf dem gleichen Gerät betreiben. In dieser Konstellation soll es möglich sein, die gesendeten Daten umzuleiten und zu verändern, ohne dass der Urheber davon etwas mitbekommt. Konkret könnte man so beispielsweise überwiesene Geldbeträge umleiten.
Das Risiko ist den bisherigen Erkenntnissen zufolge jedoch eher gering, da der mit dem Eingriff verbundene Aufwand sehr hoch ist. Mit Details hält sich der IT-Experte allerdings noch zurück, er will seinen Hack allerdings auf der für nächsten Monat angesetzten Jahreskonferenz des Chaos Computer Club vorführen, dann dürfen wir auch Hintergrundinfos erwarten und werden erfahren, ob iOS-Geräte in diesem Szenario überhaupt eine Rolle spielen.
Selber schuld. Wer benutzt den tan Apps ?
Da kennt sich aber einer aus.
Jeder der ein Konto hat-Tan Liste sind verboten worden.
QuitYourBullshit @Ingo
Zeig die Quelle. iTan ist seit letztem Jahr verboten, meine Tan-Liste in Papierform habe ich erst vor kurzem erneuert bekommen. Vielleicht hat deine Bank die bloß aussortiert.
Nö, ich nicht. Wüste auch keinen Grund dieses zu tun
Und das Logo Deiner Bank ist wahrscheinlich auch dinosaurierförmig!?
Schon mal etwas von chipTAN gehört. Viel besser.
Wüssten nicht wieso man so blöd sein sollte und TAN-Apps nutzt. Natürlich hat mein Berater auch gesagt es wär absolut Save und der Betrag würde bei Problemen ersetzt werden. Denkste.
chipTAN ist total umständlich und ebenfalls angreifbar. Außerdem ist bei flickerTAN die Wahrscheinlichkeit hoch, dass die Dlickergrafik NICHT korrekt erkannt wird
Weiß man doch schon. Wurde doch letztes Jahr oder so schonmal gezeigt. Ihr schreibt ja selber: „Das Risiko ist den bisherigen Erkenntnissen zufolge jedoch eher gering, da der mit dem Eingriff verbundene Aufwand sehr hoch ist.“
Warum schreibt ihr dann gleich oben: „Diesen Artikel der Süddeutschen Zeitung könnt ihr eurem Bankberater schicken, wenn dieser euch das nächste Mal erzählt, dass das PushTAN-Verfahren absolut sicher ist.“, wenn ihr im letzten Satz dann erwähnt das die nur mit einem hohen Aufwand verbunden ist. Also echt!
Weil ein „hoher Aufwand“ heißt es geht und „absolut sicher“ heißt es geht nicht.
Erst denken dann meckern!!!
Naja die app ist nicht sicher… punkt. Das der Aufwand hoch ist macht es nicht wirklich besser, die Banken verdienen genug um wirklich sichere IT anbieten zu können, wenn sie nur wollten.
Vielleicht das Zitat nochmal durchlesen und merken, dass von „absolut sicher“ geschrieben wurde.
Angriff mit hohem Aufwand != „absolut sicher“
Das es bei vielen Institute inkl. Banken an der IT-Sicherheit mangelt, kann man des öfteren lesen. Aber das mag nicht immer an den „Entscheidern“ oder dem Personal liegen, manchmal ist es auch nur ein Grundsätzliches Problem der IT (ein von Menschen erschaffenes System, welches nicht perfekt sein kann). Ein Hinweis auf Probleme zu geben ist jedoch der erste Schritt zur Verbesserung.
Genau erst einmal abwarten… außerdem mache ich das grundsätzlich getrennt mit dem iPad wird die Überweisung getätigt und auf dem iPhone kommt der PushTan an und somit glaube ich keinerlei Risiko zu unterliegen… war übrigens bei dem SMS Tan Verfahren sogar Pflicht das mit getrennten Geräten durchzuführen !
Kannst ja trotzdem die sms auf dem iPad empfangen :)
Wie fast immer bei solchen Meldungen: Für den Ottonormalnutzer ist es weiterhin sicher (genug). „Hochrisikopersonen“ (Politiker, Unternehmensbosse u.a. „wichtige“ Personen mit sicherheitsrelevanten Daten) sollten auf Banking Apps verzichten. Dasselbe gilt für Touch ID/Face ID.
Ich erhalte meinen TAN Code immer auf mein Smartphone. Meine Bank weist explizit darauf hin die App nicht auf dem Gerät zu haben auf den die App ist. App auf dem iPad TAN aufs iPhone ,nichts mit Umleiten
Da war deine Bank sehr vorbildlich. Leider versteht aber nicht jeder, dass eine 2-Faktor-Authentifizierung bei der 2 mal der gleiche Faktor benutzt wird nicht sicher ist.
Wer den bestmöglichen Schutz haben möchte, muss leider auf die umständlichen TAN-Generatoren zurückgreifen und bei Sammelüberweisungen besonders gut darauf achten was angezeigt wird. Schließlich kann ein *lokaler* Angreifer auch recht einfach an eine SMS-TAN gelangen (3G+4G blockieren und SMS über die unsichere 2G-Verbindung mittels MITM abfangen).
Zumindest bei der Comdirect-App ist es nichtmöglich, eine SMS-Tan auf das Gerät gesendet zu bekommen, auf dem auch die Überweisung ausgeführt werden soll. Es sind also zwingend 2 unterschiedliche Geräte notwending.
Es geht ja auch nicht um die SMS-TAN
Das geht trotzdem. Einfach einen Browser nehmen wie Puffin. Dort die Bankseite aufrufen und anmelden. Überweisung tätigen und schon bekommst du die SMS TAN auf dem selben Handy wie der Browser läuft. Geht übrigens mit allen Banken so.
Das erinnert mich irgendwie an die Schilder: betreten auf eigene Gefahr. Wenn ich in einen einsturzgefährdeten Steinbruch ohne Stahlhelm gehe, fallen wir vielleicht Steine auf den Kopf. Wenn ich so dämlich bin, alles auf dem selben Endgerät ab zu handeln, nur weil es geht, darf ich mich dann über Attacken entsprechend nicht wundern. Das ist immer die Frage, was man kann, was man tut, und was man vor allen Dingen nicht tun sollte.
Die Idee hinter einer TAN ist doch gerade, dass die Aktion über ein anderes Gerät bestätigt wird. Deshalb ist ja logisch, dass es nicht in vollem Maße sicher sein kann, wenn man für beides das gleiche Gerät verwendet. Das gilt für die SMS-TAN übrigens auch – nur nicht per MitM, aber hat eine Person das Gerät + Passwort/Auto-Login, kann sie ebenfalls Überweisungen durchführen.
Nee, falsch: Es geht darum, das TAN-Verfahren nicht innerhalbe Deiner Banking-App auszuführen. Es gibt dafür also eine zweite App mit gesondertem Authentifizierungsverfahren. Diese Vorgehensweise ist meines Wissens nach von der EU vorgegegen. Ob Du die TAN-App auf dem gleichen oder einem anderen Gerät installierst, ist unerheblich. Die EU stuft die gleichzeitie Verwendung auf einem Gerät als ungefährlich an, aus den genannten getrennten Authentifizierungsmechanismen. Dass man einen Schutz aushebeln kann, sollte jedem bewusst sein…
Die ING-Diba hat alles in einer App. Auftrag und iTan.
Das Risiko ist den bisherigen Erkenntnissen zufolge jedoch eher gering, da der mit dem Eingriff verbundene Aufwand sehr hoch ist…..
Panikmache, nichts weiter.
Was heute ein hoher Aufwand ist kann in ein paar Monaten/Jahren mit, fortgeschrittenen Auomatisierungsmöglichkeiten, auch ein geringer Aufwand sein. IT-Sicherheit ist immer ein Katz und Maus spiel. Und „Sicherheit“ ist als Prozess und nicht als Zustand zu betrachten.
Also ich kann bei comdirect auf dem selben gerät keine TANs empfangen. Die App sagt sofort das nur iTan geht.
Meine Bank gleicht wöchentlich meine Daten per Mail ab, hätte bis jetzt noch keinerlei Probleme
Ich überweise einfach nix :-)
Sorry, aber der Artikel ist doch total nichtssagend. Wo liegt denn jetzt genau das Risiko? Wie und wer kann denn die Zahlung umleiten wenn ich beide Apps auf dem Iphone habe? Dafür muss doch sicher ein Jailbreak und ne Malware her oder reicht hier wirklich das Abgreifen im WLAN?
Du Cleverchen! HBCi verwenden die beschriebenen Verfahren auch. Das ist auf einer anderen Ebene!
> beispielsweise die PushTAN-App der Sparkassen.
Wenn der Artikel nicht etwas ganz anders beschreibt redet ihr hier von der App ‚S-ID Check‘. Eine ‚Push TAN App‘ ist mir nicht bekannt.
Ich bin bei Commerzbank, und benutze Photo tan. Beides auf einem Gerät klappt wunderbar.
Ich behalte mein Geld auch einfach. Hier und da Apple Lay und gut ist.
Noch sicherer ist die analoge Überweisung am Bankschalter.
Letztendlich geht es doch darum, ob die Bank die Haftung übernimmt wenn die Bank eine zweite App anbietet für PushTAN, wenn die Haftung übernommen wird, ist doch für den Endverbraucher alles in Ordnung.
Also einfach mal einen Blick in die AGBs der Bank werfen.
Ich verstehe die Aufregung nicht wirklich. Absolut sicher gibt es nicht. Es ist ähnlich eurem Heim. Wer kann behaupten eine absolut einbruchsicheres Haus oder Wohnung zu haben? Man kann es den Kriminellen nur so schwer wie möglich machen.
Hinzu kommt, dass ein höherer Sicherheitsstandard vermutlich mit weniger Bedienkomfort einhergehen würde. Es ist also immer ein Kompromiss, möglichst viele Nutzer zu erreichen oder am Ende nur wenige Experten.
Dieses Prinzip wurde schon vor zwei Jahren auf der CCC-Konferenz (31C3) vorgestellt.
Und jedes Jahr das gleiche Thema.
JA: es gibt ein grundsätzliches Sicherheitsproblem bei Nutzung beider Apps auf einem Gerät.
In den letzten Jahren könnte jedes Mal nur nachgewiesen werden, dass es auf Androiden mit Root-Rechten eine tatsächliche Lücke gab.
Und trotzdem ist das alarmierend, weil es damit theoretisch auch irgendwann jemandem gelingen könnte auch andere reale Angriffsszenarien zu kreieren.
Ich kenne bei der ganzen Diskussion Interna aus der Entwicklung der Sparkassen-Apps – Die Hinweise werden jedesmal sehr ernst genommen. Z.T. Waren allerdings leider die öffentlichen Statements nicht gut überlegt.
Es ist allerdings auch so, dass einerseits noch kein Kunde Geld durch einen solchen Angriff verloren hat und andererseits würden Schäden ersetzt werden.
Eigentlich kann man aktuell jedem Nutzer raten: Immer aktuelle Versionen verwenden, ausschließlich offizielle Downloadquellen verwenden und wie immer beim Internetbanking: Augen offen halten!
Die Raiffeisen-App Meine Bank kann auf einem gerooteten Handy nicht installiert werden.
Viel Lärm um nichts. Typisch Prantl-Prawda.
kann jemand die liste hier oder wo anders posten? Die Seite der SZ zeigt an ich hätte einen Adblocker an, was aber nicht der fall ist.
Die ING-Diba hat alles in einer App. Auftrag und iTan.
Sind ING-Diba und N26 also unsicher (nicht, dass mich das wundern würde)? Die Liste klingt ein bisschen so wie „100% Hühnchen und 31 ausgewählte Kräuter“, welche genau sind das denn? Habe zwar meinen AdBlocker für SZ deaktiviert, hilfreiche Infos konnte ich dort dennoch nicht finden.
Irgendwie verunsichert die Meldung bloß ohne weitere Infos oder gar Tipps zu geben.