Home | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Jura | Kontakt
 
 
Navigation
»Arbeitsrecht
»Baurecht und Architektenrecht
»Erbrecht
»Familienrecht
»Handels- und Gesellschaftsrecht
»Insolvenzrecht
»Internetrecht - Onlinerecht - Ebay
»Medizinrecht
»Mietrecht und Pachtrecht
»Sozialrecht
»Steuerrecht
»Strafrecht
»Transport- und Speditionsrecht
»Urheber- und Medienrecht
»Verkehrsrecht
»Versicherungsrecht
»Verwaltungsrecht

»Abfallrecht
»Agrarrecht
»Aktienrecht
»Architekten- und Ingenieurrecht
»Arzt- und Kassenrecht
»Arzthaftungsrecht - Arzthaftung
»Bank- und Börsenrecht
»Baurecht, privates
»Binnenschifffahrtsrecht
»Datenschutzrecht
»Deutsch-spanisches Recht
»Energiewirtschaftsrecht
»Familienrecht, internationales
»Forderungseinzug
»Gewerberecht
»GmbH-Recht
»Haftungsrecht, freie Berufe
»Haftungsrecht, Steuerberater
»Handels- und Wirtschaftsrecht
»Immobilienrecht
»Internationales Privatrecht
»Internationales Recht
»Jagd- und Waffenrecht
»Jugendstrafrecht
»Kapitalanlagenrecht
»Kapitalstrafrecht
»Kaufrecht
»Leasingrecht
»Maklerrecht
»Marken- und Domainrecht
»Medienrecht
»Nachbarrecht
»Opferschutzrecht
»Pferderecht
»Presserecht
»Printmedienrecht
»Produkthaftungsrecht
»Recht des öffentlichen Dienstes
»Reiserecht
»Rentenrecht
»Schadenersatzrecht
»Schuldrecht
»Sportrecht
»Steuerstrafrecht
»Strafverfahrensrecht
»Strafvollzugsrecht
»Telekommunikationsrecht
»Verbraucherinsolvenz
»Vereins- und Verbandsrecht
»Vergaberecht
»Verkehrsstrafrecht
»Verkehrsverwaltungsrecht
»Vermögensrecht
»Vertragsrecht
»Wehrrecht
»Wettbewerbsrecht - Werberecht
»Wirtschaftsrecht
»Wirtschaftsstrafrecht
»Wohnungseigentumsrecht
»Zivilrecht, allgemein
»Zwangsvollstreckungs-Recht
 
Sie befinden sich hier: Startseite / Fachartikel / Bank- und Börsenrecht / Online-Banking: Risikobehaftete mobile Transaktionen, Erlangener Forscher knacken Sparkassen-App
   Bank- und Börsenrecht
Online-Banking: Risikobehaftete mobile Transaktionen, Erlangener Forscher knacken Sparkassen-App
 
Autor: Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse
Kanzlei: ilex Rechtsanwälte
Ort: 14469 Potsdam
erstellt am: 29.10.15
 
Profil anzeigen
mehr Fachartikel dieses Autors
mehr Bank- und Börsenrecht
Artikel drucken
     

Online-Banking: Risikobehaftete mobile Transaktionen, Erlangener Forscher knacken Sparkassen-App
Das Online Banking ist aus dem modernen Zahlungsverkehr kaum noch wegzudenken. Bankkunden möchten zunehmend auch mit Tablet PC und Smartphone Online Banking betreiben. Doch dabei sollte der Bankkunde die Sicherheit nicht vergessen und Wert auf ein sicheres Online Banking legen. Aus der aktuellen Fachpresse lässt sich entnehmen, dass es Forschern an der Friedrich-Alexander-Universität Erlangen-Nürnberg gelungen ist, die App der Sparkasse für das mobile TAN – Verfahren zu täuschen. Hierüber berichtet ilex Rechtsanwälte.

Wie funktionieren die neuen Apps?
Praktisch, schnell und „to go“. Für immer mehr Bankkunden ist es schon jetzt eine gute Alternative gegenüber dem althergebrachten Gang zur Bank, ihre Bankgeschäfte auch unterwegs zu erledigen. Um Online Banking mit dem Smartphone noch attraktiver zu machen, entwickeln Hersteller zunehmend Apps, die TANs erzeugen. Das erklärte Ziel ist hierbei stets mehr Komfort für den Bankkunden. Während traditionell zwei Geräte erforderlich sind, eines zur Durchführung der Transaktion und eines zum Erhalt der Bestätigungs-TAN, bieten immer mehr Banken nun sogenannte App-basierte TAN-Verfahren an. Der Anwender nutzt dabei zwei Apps auf ein und demselben Smartphone. Mit einer Online-Banking-App wird die Überweisung getätigt und mit der zweiten App erfolgt die verschlüsselte Kommunikation mit der Bank zur Anforderung der TAN. Im Grundsatz handelt es sich also um dasselbe System wie beim mobilen TAN Verfahren. Neben dem erhöhten Komfort für den Kunden bietet dieses Verfahren laut den Werbeangaben der Hersteller auch mehr Sicherheit, da es weniger Angriffsfläche für potentielle Betrüger gebe, als bei der herkömmlichen Versendung einer die mobile TAN enthaltenen SMS.

Wie täuschten die Forscher die Apps?
Medienberichten zufolge ist es nun allerdings Forschern gelungen, eine mittels der Sparkassen App durchgeführte Transaktion zu manipulieren. Vincent Haupert und Tilo Müller von der Forschungsgruppe Systemsicherheit und Softwareschutz an der Friedrich-Alexander-Universität Erlangen-Nürnberg zeigten in ihrem Versuch die Sicherheitsmängel auf. Es gelang ihnen, eine Transaktionssumme von 0,10 EUR auf 13,17 EUR zu erhöhen und auch den Empfänger der Überweisung zu verändern. Der Nutzer der App hätte dies nicht bemerkt. Zwar sei der Angriff aufgrund der Schutzmechanismen der beiden Apps technisch anspruchsvoll gewesen. Jedoch mache „der bewusste Verzicht auf eigenständige Hardware zur Transaktionsauslösung und -bestätigung das Verfahren für Schadsoftware zu einer leichten Beute“, so die beiden Forscher. Weiter mahnen sie an, dass sich die Sicherheitsprobleme nicht durch eine verbesserte Programmierung lösen lassen, sondern in der Struktur des Verfahrens begründet seien. Es ist nämlich der entscheidende Nachteil der App-TANs, dass sich der gesamte Transaktionsvorgang auf einem einzigen Gerät abspielt. Eine Erleichterung für die Betrüger, denn während der Angreifer beim herkömmlichen Verfahren per ChipTAN oder mobilen TAN zwei unabhängige Geräte unter seine Kontrolle bringen muss, genügt es bei der App-Manipulation, nur in das Smartphone eine Schadsoftware einzuschleusen.

Nach Aussage der Sparkasse betreffen die vorgeführten Angriffe auf das Online-Banking nur veraltete Versionen der S-pushTAN-App. Dass tatsächlich Schadensfälle eintreten werden, hält sie daher für unwahrscheinlich.

Dies ändert jedoch nichts an der grundlegenden Schwäche, auf welche die beiden Forscher aufmerksam gemacht haben – nämlich die Nutzung nur eines Gerätes. Es bleibt die Frage: Wird die Sicherheit beim Online-Banking zugunsten der Bequemlichkeit vernachlässigt?

Autor (ViSdP): Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse, ilex Rechtsanwälte, 14469 Potsdam


Das Datum, an dem dieser Artikel eingestellt wurde, entspricht nicht zwingend dem Tag der Erstellung dieses Artikels. Bitte informieren Sie sich im Zweifel beim Autor oder einem anderen Fachmann über die Aktualität und Richtigkeit der Inhalte.


Anzeige:

 
SeitenanfangSeitenanfang
 

Anwaltzentrale.de – Ein Service der cemore GmbH
Lindenstraße 102a | 49393 Lohne | Deutschland
Tel.: +49 4442/8027-0 | Fax.: +49 4442/8027-29 | E-Mail: info@cemore.de

Impressum | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Über uns | Kontakt | Fachartikel Sitemap

Anwaltzentrale.de führt keine Rechtsberatung durch.
Alle verwendeten Markennamen und Bezeichnungen sind eingetragene Warenzeichen und Marken der jeweiligen Eigentümer.