Vorsicht: pushTAN-App der Sparkassen unsicher

Online-Banking-Kunden der Sparkassen können Überweisungen oder andere Transaktionen über TAN-Apps autorisieren. Sollte man aber aus Sicherheitsgründen nicht tun. Und von ähnlichen Lösungen anderer Banken würde ich ebenfalls die Finger lassen. Worum geht es genau?

Online-Banking per Smartphone und Tablet erledigen ist komfortabel, und soll – speziell mit den von der Sparkassen-Organisation angebotenen App-TANs laut deren Aussage sicher sein. Dem ist leider mitnichten so – es muss vielmehr vor der Verwendung von App-TANs gewarnt werden. Ich hatte das Thema bereits im Oktober 2015 im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher aufgegriffen.

Die Sparkassen-Informatik hatte seinerzeit reagiert und die "unsicheren" Apps als "veraltet" klassifiziert. Mit aktuellen Versionen der S-pushTAN-App sei das Verfahren sicher. Diese Hoffnung hat sich leider als Trugschluss erwiesen. Sicherheitsforscher der Uni Erlangen, die auch schon die ersten Sicherheitslücken im App-TAN-Verfahren aufgedeckt haben, sind erneut fündig geworden. In der aktuellen Version 1.0.7 der S-pushTAN-App (vom 7. Dezember 2015) gibt es ebenfalls Möglichkeiten, die TAN-Authentifizierung anzugreifen. Das Ganze ist auf dem aktuell stattfindenden 32. Chaos Communication Congress (32C3) in Hamburg von den Sicherheitsforschern präsentiert worden.

Bei Interesse einfach den Artikel 32C3: pushTAN-App der Sparkasse nach wie vor angreifbar bei heise.de durchlesen. Übrigens: bei anderen Banken zum Einsatz kommende, ähnliche Lösungen sind wohl ebenfalls angreifbar. Wer auf Sicherheit bedacht ist, aber auf Online-Banking nicht verzichten mag, verwendet dies von mir im Blog-Beitrag Online-Banking: App-TANs (u.a. der Sparkassen) unsicher beschriebenen TAN-Generatoren.