31 Banking-Apps sind unsicher.

2 min.

Sicher haben auch Sie in Ihrem Freundes- und Bekanntenkreis eine Person, die wegen Sicherheitsbedenken bisher kein Onlinebanking betreibt. Ein Bericht der Süddeutschen Zeitung und Forschungsergebnisse der Universität Erlangen-Nürnberg zeigen erschreckende Sicherheitslücken bei Banking-Apps auf, von denen auch viele deutsche Geldhäuser betroffen sind.
Aber wie können Sie sich dagegen schützen?

Ausgangslage

Auch wenn gar nicht alle Details der Sicherheitslücken bekannt sind, war das Entsetzen innerhalb der Branche einigermaßen groß. Den bayerischen IT-Forschern ist es gelungen, eine bekannte Sicherheitslücke auszunutzen und auf diese Weise den digitalen Zahlungsverkehr auf dem Handy mit einem gezielten Angriff zu manipulieren. Den Wissenschaftlern der Universität Erlangen-Nürnberg gelang es, während eines Online-Banking-Prozesses auf das Smartphone zuzugreifen und das Geld unbemerkt auf ein anderes Konto umzuleiten. Betroffen sind Apps, die Online-Banking und die anschließende TAN-Ein- und Ausgabe auf dem selben Gerät realisieren – frei nach dem Motto: Wenn erst einmal der Zugang zum Handy besteht und hier beide Apps (Banking und TAN-Erzeugung) gleichzeitig ausgeführt werden, dann ist es auch leichter, die Prozesse parallel auszulesen, anzugreifen und schlussendlich (kriminell) zu beeinflussen.
Aber wie konnte dieses Einfallstor gleich bei 31 verschiedenen Banking-Apps gleichzeitig auftreten? Um das individuelle Design kümmern sich die unterschiedlichen Banken meist selbst, aber die Sicherheit ist ein heikles Thema. Hier bedienten sich die Geldinstitute einer spezialisierten IT-Sicherheitsfirma namens „Promon“. Einige Banken lagerten diesen sicherheitsrelevanten Bereich also an einen externen Dienstleister aus. Mit der Folge, dass wenn das System einmal angreifbar ist, sich dieser Fehler auf alle Banking-Apps auswirkt, die auf den „Promon-Unterbau“ setzen.

Kritik an den betroffenen Banking-Apps

Der Fakt selbst – also unsichere Online-Banking-Apps von namenhaften Banken – ist schon erschütternd, aber die Schuld ist nicht nur bei der externen IT-Sicherheitsfirma zu suchen. Mitschuld tragen auch die Kunden, die immer wieder smarte Banking-Lösungen einfordern, die nur auf eine möglichst komfortable Bedienung abzielt. Aber Verantwortung tragen ebenso die Geldhäuser, die diese wichtige Aufgabe delegieren, anstatt eigene und vor allem wirklich sichere Lösungen zu entwickeln. Es ist äußerst problematisch, dass diesen Rufen nach mehr Komfort (zu Lasten der Sicherheit), Gehör geschenkt und auf unabhängige Zwei-Faktor-Authentifizierung verzichtet wurde. Das ist ein Verfahren, bei dem zwei voneinander unabhängige Geräte nötig sind, um Transaktionen zu tätigen.

Handlungsempfehlung

Klar, dieser Vorfall ist alarmierend, aber auf die bequemen Online-Banking-Funktionen müssen Sie trotzdem nicht pauschal verzichten. Beachten sollten Sie jedoch sehr genau, welche Banking-App Sie bevorzugen und anschließend herunterladen. Trotz einiger Sicherheitsprüfungen in den App-Stores, gelingt es kriminellen Hackern (leider) immer wieder, Schadsoftware in die jeweilige Plattform einzuschleusen. Hier hilft nur eine Recherche oder eine direkte Anfrage bei Ihrer Bank. Weiterhin sollten Sie unbedingt Ihr Betriebssystem, welches auf Ihrem Smartphone läuft, auf dem aktuellen Stand halten. Nur so können Sicherheitslücken geschlossen werden. Dies kann für Android-Nutzer ein (unüberwindbares) Problem darstellen, da leider einige Hersteller nur verzögert und im Falle älterer Geräte sogar oft gar keine Software-Updates mehr anbieten. Bei älteren Android-Telefonen mit deutlich veralteter Software ist daher kritisch zu überdenken, ob Sie mit einen tendenziell unsicheren Smartphone sensible Bankgeschäfte tätigen wollen. Rechtlich könnte ein solches Verhalten schon als fahrlässig eingestuft werden – mit der Folge, dass Ihre Bank bei einem dadurch bedingten Schadensfall, den Schaden möglicherweise nicht reguliert. Das sollten Sie vermeiden.

Fazit

Der vorliegend Fall zeigt exemplarisch, wie verwundbar sicherheitsrelevante IT-Systeme sein können. Damit geht es hier ganz konkret um unser Geld. Es lohnt sich also, nicht blind nur irgendeine Banking-App herunterzuladen und das komfortabelste TAN-Verfahren auszuwählen, sondern konsequent eine möglichst sichere Lösung zu favorisieren. Dazu gehört, dass Sie das eigentliche Banking und das Erstellen der entsprechenden TAN nicht auf dem selben Gerät ausführen. Ebenso sollten Sie den Bereich, der in Ihrer Sphäre liegt – Ihr Smartphone – stets mit der neusten Software pflegen, um die Möglichkeit von Cyberangriffen zu reduzieren. Eine vollständige Sicherheit werden Sie nicht erreichen. Das sollte Ihnen bewusst sein. Es muss ja schließlich auch einen Grund geben, warum Sie diesen einen Freund/Bekannten haben, der kein Online-Banking betreibt…

Lesen Sie auch meine Artikel zur Sicherheit von der Sofortüberweisung, Paypal und Paydirekt.
Welche Erfahrungen haben Sie gemacht? Hatten Sie mit Ihrer Bank wegen eines Online-Banking-Zwischenfalls schon einmal Ärger? Lassen Sie es mich wissen und kommentieren Sie diesen Beitrag!

__

Titelbild (CCO Public Domain)

__

Über den Autor

<p>Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.</p>

Kommentieren Sie diesen Beitrag!