Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Forscher hacken Smartphone-Banking

PhotoTAN nicht sicher

Forscher hacken Smartphone-Banking

24. Oktober 2016, 8:48 Uhr | Elke von Rekowski
Fortsetzung des Artikels von Teil 1

Alle App-basierten Verfahren betroffen

Brisant sind die erfolgreichen Manipulationen auch vor dem Hintergrund der Januar 2016 in Kraft getretenen Zweiten Zahlungsdiensterichtlinie (PSD II), die nach einer Übergangsphase von zwei Jahren für alle Zahlungsdienstleister verbindlich wird. Denn demnach müssen Onlinezahlungen mit zwei unabhängigen Authentifizierungselementen aus dem Bereich Wissen (Passwörter, Codes), Besitz (EC-Karte, TAN-Generator, Smartphone) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Iris) autorisiert werden. Darüber hinaus muss die Unabhängigkeit der verwendeten Elemente garantiert werden, so dass ein kompromittierter Faktor nicht auch das zweite Authentifizierungselement kompromittiert. »Unsere Untersuchung stellt die Unabhängigkeit der Authentifizierungselemente infrage, wenn beide Faktoren – im konkreten Fall die Banking-App und die photoTAN-App – auf demselben Smartphone betrieben werden«, sagt Haupert und führt aus: »Diese Erkenntnis gilt nicht nur für die von uns analysierten pushTAN- und photoTAN-Verfahren, sondern lässt sich grundsätzlich auf alle App-basierten Authentifizierungsverfahren im Onlinebanking übertragen.«

Sicherheit durch TAN-Generator

Anwender müssen den Wissenschaftlern zufolge dennoch nicht auf den Komfort des mobilen Bankings verzichten. Damit der mobile Bankschalter sicher wird, sollte man jedoch für seine Transaktionen einen dedizierten photoTAN-Generator nutzen, den die Bank zur Verfügung stellt. Ein solcher Generator übernimmt die Funktion der photoTAN-App des Smartphones, scannt den Matrix-Code der Banking-App und stellt eine TAN für die entsprechende Transaktion bereit, wie er vom bewährten chipTAN-Generator des Online-Bankings bekannt ist.

»Ein photoTAN-Generator ist klein und handlich und lässt sich leicht mitführen«, erläutert Vincent Haupert. Da er ausschließlich für die Generierung von TANs konstruiert sei und keine sonstigen Funktionen und Schnittstellen biete, sei er auch nicht zu hacken oder mit Schadsoftware zu infizieren. »Das macht mobiles Banking deutlich sicherer«, so der Informatiker.

  1. Forscher hacken Smartphone-Banking
  2. Alle App-basierten Verfahren betroffen
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Zyxel Networks A/S

Zyxel Networks A/S
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Securepoint GmbH

Securepoint GmbH
Panduit

Panduit

ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH