PushTAN-Verfahren in der Kritik: „31 Banking-Apps anfällig für Hacker“

Diesen Artikel der Süddeutschen Zeitung könnt ihr eurem Bankberater schicken, wenn dieser euch das nächste Mal erzählt, dass das PushTAN-Verfahren absolut sicher ist. Ein IT-Fachmann weist nach, dass sich auch hier eine sogenannte „Man in the Middle“-Attacke durchführen lässt und zählt 31 Online-Banking-Apps, die seiner Meinung nach gefährdet sind.

Die 31 von namhaften Banken wie der Commerzbank, Sparkassen, Comdirect oder der Fidor Bank herausgegebenen Apps setzen allesamt auf das gleiche und offenbar nicht zu 100 Prozent sichere Basissystem des IT-Anbieters Promon. Schnell erklärt funktioniert dies so, dass ihr über vom Rechner oder auch Mobilgerät aus eine Überweisung startet, und die benötigte TAN dann in einer separaten App angezeigt bekommt, beispielsweise die PushTAN-App der Sparkassen.

Gefährdet sind dem Bericht zufolge allerdings nur Nutzer, die Banking- und TAN-App auf dem gleichen Gerät betreiben. In dieser Konstellation soll es möglich sein, die gesendeten Daten umzuleiten und zu verändern, ohne dass der Urheber davon etwas mitbekommt. Konkret könnte man so beispielsweise überwiesene Geldbeträge umleiten.

Das Risiko ist den bisherigen Erkenntnissen zufolge jedoch eher gering, da der mit dem Eingriff verbundene Aufwand sehr hoch ist. Mit Details hält sich der IT-Experte allerdings noch zurück, er will seinen Hack allerdings auf der für nächsten Monat angesetzten Jahreskonferenz des Chaos Computer Club vorführen, dann dürfen wir auch Hintergrundinfos erwarten und werden erfahren, ob iOS-Geräte in diesem Szenario überhaupt eine Rolle spielen.