Als Kontonummer muss man sich bei uns inzwischen die 22-stellige SEPA-Nummer merken, aber um online zu bezahlen, reicht schon eine vierstellige Zahl mit maximal 1.000 Kombinationen – so kennen wir unsere Banken. Sie profitieren von den Zahlungen und wollen sie deshalb so einfach wie möglich halten – auch wenn es auf Kosten der Sicherheit geht.
Immer noch wirbt die Sparkasse für ihr Onlinebanking mit dem push-TAN-Verfahren auf ihrer Homepage: „Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen.“ Was die Sparkasse als Vorteil anpreist, ist nach Ansicht von Sicherheitsexperten in Wahrheit aber der entscheidende Nachteil des Konzepts.
Gestern erklärte der Erlanger Student Vincent Haupert beim aktuell laufenden Hackerkongress 32C3 des Chaos Computer Clubs (CCC) in Hamburg, wie er das pushTAN-Verfahren der Sparkasse hackte, und das nicht zum ersten Mal.
Denn schon im Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse einfach überlisten lässt. Denn es basiert auf einer App für das eigentliche Onlinebanking und einer zweiten App für das TAN-Verfahren, die dabei so eng gekoppelt sind, dass sich die übermittelte TAN direkt auf die Banking-App übertragen lässt.
Haupert entschied sich dafür, diese Transaktion zu manipulieren. Weitere Angriffsmethoden hätten zum Beispiel sein können, die S-pushTAN-App mitsamt ihren Daten einfach zu klonen.
Auch ein Reverse-Engineering der Transaktionsprotokolle wäre denkbar. Bei Hauperts Methode wird den Benutzern der Sparkassen-App die von ihnen gewünschte Transaktion vorgegaukelt, dabei aber im Hintergrund ein ganz anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen.