Hacker erklärt die einzig sichere Methode für Online-Banking

Vincent Haupert blickt auf sein Smartphone und checkt ein letztes Mal die Überweisungsdaten in der Sparkassen-App. Empfänger: Finanzamt. Betrag: 10 Cent. Alles wie gewünscht. Er überträgt die TAN an die Sparkasse und die App meldet: "Der Auftrag wurde entgegengenommen".

Doch als Haupert wenig später seinen Kontostand prüft, sieht er: Die App hat mehr als hundert Mal so viel Geld abgebucht als angezeigt: 13,37 Euro. Auch der Empfänger ist ein anderer. Dafür gibt es nur eine Erklärung: Jemand hat das Smartphone gehackt und die Überweisung manipuliert.

Was sich wie der Alptraum jedes Bankkunden anhört, ist Teil eines Experiments. Denn Haupert forscht seit Jahren an der Universität Erlangen-Nürnberg zu den Schwachstellen von Banking-Apps. Und der Hacker, der die Sparkassen-App geknackt hat, ist er selbst. Als Verwendungszweck für die manipulierte Überweisung schrieb Haupert: "Appsolut sicher".

Nachdem Haupert das Experiment im Herbst 2015 öffentlich gemacht hatte, lieferte er sich ein Duell mit den Entwicklern der Sparkassen-App. Sie programmierten Updates, damit Hauperts Attacke nicht mehr funktioniert und die Sparkasse schickte triumphale Pressemeldungen heraus. Haupert wiederum baute seinen Angriff um und knackte die App erneut. Von diesem Duell berichtete der Hacker auf dem Chaos Communication Congress 2015.

Seither gilt Haupert als Experte für die Sicherheit von Online-Banking: Er berät BKA-Beamte und tauscht sich mit Programmierern aus, die im Auftrag der Banken an neuen Apps feilen. Im Gespräch mit Motherboard erklärt der Hacker, wie Nutzer beim Online-Banking möglichst sicher sind – und warum das Smartphone allein dafür nicht ausreicht. Außerdem vergleichen wir, welche der großen deutschen Banken die wichtigsten Sicherheitsfeatures gut umsetzt.

Motherboard: Nutzt du selbst Online-Banking?

Vincent Haupert: Klar, das ist nicht nur bequem, sondern auch sehr sicher – wenn man es richtig macht. Den Gang in die Bankfiliale kann man sich so sparen. Ich habe ein Jahr in Brasilien gelebt, da war ich auf Online-Banking angewiesen.

Aber auf die Sparkassen-App verzichtest du lieber, oder?

Alle App-basierten TAN-Verfahren bieten Angriffsfläche für Betrüger, unabhängig vom Institut. Die Apps der Banken sind aber gar nicht unbedingt die Schwachstelle. Zum Teil sind die sehr solide programmiert. Aber wenn das Betriebssystem des Smartphones mit Schadsoftware infiziert ist, lässt sich jede App knacken.

Wenn Angriffe auf Banking-Apps immer möglich sind, wieso tragen einige dann TÜV-Siegel?

Ich weiß nicht genau, was die da eigentlich testen. Ich halte das für Plaketten, die Vertrauen schaffen sollen – eine Garantie für Sicherheit sind sie nicht und können sie auch nicht sein.

Wie machst du also dein Online-Banking?

Ich nutze das chipTAN-Verfahren. Dafür braucht man ein kleines Extra-Gerät, in das man seine Bankkarte schiebt. Das Gerät ähnelt einem Taschenrechner. Üblicherweise wird dabei die IBAN des Empfängers und der Betrag über einen Flickercode an das Gerät übertragen. Es generiert dann eine TAN, die genau an diesen Auftrag gebunden ist.

Vorher hat man noch einmal die Gelegenheit, die Zahlungsdetails zu kontrollieren. Weil das Gerät offline ist, bietet es eine minimale Angriffsfläche: Eine Infektion mit Schadsoftware ist so gut wie ausgeschlossen.

Das chipTAN-Verfahren ist also der Goldstandard?

Ja, weil sich das Verfahren eigentlich nicht manipulieren lässt, es eine vertrauenswürdige Anzeige hat und man die Bankkarte kaum kopieren kann. Aber das sicherste TAN-Verfahren bringt nicht viel, wenn die Leute es falsch verwenden. Sie müssen zum Beispiel die Zahlungsdetails auf dem Bildschirm des TAN-Generators mit denen auf der Originalrechnung vergleichen. Nutzerexperimente zeigen aber, dass die große Mehrheit der Leute das nicht sorgfältig macht.

Wie sicher sind neue Verfahren wie der QR- oder photoTAN, bei denen die TAN aus einem Matrixcode generiert wird?

Wenn wirklich zwei Geräte beteiligt sind, ist das erst mal gut. Man scannt den Laptop-Bildschirm mit dem Smartphone. Auch hier bleibt theoretisch die Möglichkeit, dass ein Angreifer beide Geräte mit Schadsoftware infiziert, das ist aber eher unwahrscheinlich.

Manche Banken bieten eigene Geräte an, um den Code abzufotografieren und dort die TAN zu generieren. Weil das Gerät keine Schnittstellen zu Netzwerken hat und generell eine geringe Komplexität aufweist, ist die Sicherheit des Verfahrens vergleichbar mit chipTAN.

Wenn sich die Sicherheit mit chipTAN so einfach erhöhen lässt, wieso halten die anderen Banken an den schwachen App-Verfahren fest?

Die Banken rechtfertigen sich gerne damit, dass es bisher keine Schadensfälle damit gegeben hat. Die App-basierten TAN-Verfahren sind zurzeit ein relativ kleiner Markt. Laut einer Studie nutzen das gerade einmal fünf bis acht Prozent der deutschen Online-Banking-Kunden. Ein Viertel nutzt die alten TAN-Listen und jeweils ein knappes Drittel nutzt chipTAN und smsTAN. Wenn Betrüger die App hacken, betrifft das nur einen Bruchteil der Leute – das lohnt den Aufwand kaum.

Noch sind Social-Engineering-Angriffe wie Phishing-Mails oder der Enkeltrick vielversprechender. Hier geben die Betrüger vor, der Kundenservice-Mitarbeiter oder ein Verwandter zu sein, um die Opfer dazu zu verleiten, selbst Überweisungen auf die Konten der Angreifer zu tätigen. Gegen solche Angriffe hilft das beste TAN-Verfahren natürlich nichts.

Du sagst "noch" sind andere Maschen vielversprechender. Wird sich das ändern?

Ja, eine neue EU-Verordnung wird das Ende für die TAN-Listen und ziemlich sicher auch für die smsTAN bedeuten. Die EU-Kommission hat die Richtlinie im März im Amtsblatt veröffentlicht, gültig wird sie aber erst 18 Monate später, am 14. September 2019. Allerspätestens bis dahin müssen die Banken ihre TAN-Verfahren umstellen und werden vermutlich bei einem App-basierten Verfahren landen. Für Betrüger heißt das: Angriffe auf Apps lohnen sich dann viel mehr.

Warum wechseln die Banken dann nicht zum chipTAN-Verfahren?

Früher haben die Banken die Lesegeräte für die chipTAN verschenkt – deshalb nutzen das überhaupt so viele Leute. Heute müssen die Kunden dafür bezahlen und das schreckt die meisten ab. Darüber hinaus glauben die Banken, dass die chipTAN zu unbequem ist. Sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Apps setzen. Diesen Trend, der User Experience über Sicherheit stellt, haben insbesondere digitale Finanzunternehmen, FinTechs, zu verantworten.

Außerdem werben die Banken nicht mit der Sicherheit des chipTAN-Verfahrens, weil sie damit automatisch die App schlecht machen würden. Wer will schon die zweitsicherste Lösung, wenn es ums Geld geht?

Ebenfalls auf Motherboard: Zu Besuch in der chinesischen Bitcoin-Mine

Macht es einen Unterschied, ob ich ein Smartphone mit iOS oder Android benutze?

Allgemein ist das Problem, dass sich die Banken auf zahlreiche Geräte mit unterschiedlichen Betriebssystemen begeben, wenn sie Apps anbieten. Von Android laufen viele unterschiedliche Versionen, weil Dritthersteller wie Samsung oder Huawei das Betriebssystem an ihre Geräte anpassen. Die Hersteller müssten deshalb regelmäßig Sicherheitsupdates für ihre Geräte ausrollen. Aber die Praxis zeigt, dass sie das oft viel zu spät machen und den Update-Service nach ein bis zwei Jahren komplett einstellen. So bleiben bekannte Sicherheitslücken lange geöffnet.

Also besser ein iPhone für Bankgeschäfte verwenden?

iOS ist etwas besser aufgestellt. Das liegt aber nicht daran, dass es sicherer programmiert ist oder weniger Sicherheitslücken aufweist. Apple kann bekannte Lücken schneller schließen, weil die Firma nur wenige verschiedene Geräte anbietet und die Software selbst liefert.

Eine andere Schwachstelle von Online-Banking ist der Login, bei den meisten Banken ein fünf- oder sechsstelliges Passwort. Wie unsicher ist das?

Das wirkt auf den ersten Blick bedrohlich. Wer sich bei meinem Bank-Account einloggt, kann leicht herausfinden, wie viel ich verdiene, wo ich wohne, wo ich einkaufe, was ich wo bestelle. Daraus lässt sich schnell ein komplettes Profil von mir erstellen. Gegen plumpe Hackerangriffe sind die meisten Banking-Accounts aber gut geschützt: Nach wenigen falschen Eingaben der Onlinebanking-PIN wird der Zugang gesperrt und man muss ihn mit einer TAN wieder entsperren.

Anders sieht das aus, wenn jemand irgendwie an mein Passwort kommt, zum Beispiel, wenn ein Betrüger die Website meiner Bank kopiert und ich mich einlogge. Deshalb sollte man die URL der Bank immer selbst eingeben, statt auf irgendwelche Links in E-Mails zu vertrauen.

Wie könnten Banken ihre Logins sicher machen?

Eine Zwei-Faktor-Authentifizierung, wie wir sie etwa von Google-Konten kennen, wäre eine Lösung. Hier braucht der Nutzer neben dem Passwort noch ein zweites Element: zum Beispiel einen Code, der auf dem Smartphone angezeigt wird und sich alle paar Sekunden ändert. Ich kenne keine Bank, die das anbietet. Aber hier wird sich in Zukunft auch etwas tun: Der neuen EU-Richtlinie zufolge müssen Banken zumindest beim erstmaligen Login und wenn man sich länger nicht mehr eingeloggt hat, eine TAN fordern.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter