Finanzielle Transaktionen über Smartphones sind nicht gesichert. Dies haben die Informatikwissenschaftler der Uni Erlangen-Nürnberg (FAU) mit einem gelungenen Anschlag auf die photoTAN-Prozesse von drei Kreditinstituten nachgewiesen. Im photoTAN-Verfahren muss der Anwender einen Matrix-Code von einem Computer, Notebook oder Tablett scannen; die Smartphone-App erzeugt daraus eine TAN. Doch gerade dieses Sicherheits-Konzept wird beim Mobile PhotoTAN Banking untergraben: Da der auf dem Handy bereitgestellte Matrix-Code nicht mit dem gleichen Endgerät gescannt werden kann, ruft die Bank-App die TAN-Applikation unmittelbar ab, um die Transaktionsanfrage zu starten.
Dabei wurden die Foto-TAN-Apps von Deutsche Börse, Commerzbank und Norisbank auf einem Handy und dem Empfaenger geknackt und der Wert in Realzeit bearbeitet. Der Benutzer konnte die bearbeitete Transaktionsstruktur zu keinem Zeitpunkt einsehen", sagt Haupert. Außerdem war es möglich, die photoTAN-App auf das Endgerät des Angriffs zu übertragen. "Ist es einem Täter gelungen, die Zutrittsdaten für die Bank-App zu erhalten, kann er letztendlich alle Geschäfte auf Kosten des Betroffenen durchführen.
"Die " Independence of authentication elements " sind das Ergebnis der Zweiten Zahlungsdienstrichtlinie, die ab 2018 für alle Kreditinstitute bindend sein wird. Demnach müssen Online-Zahlungen mit zwei voneinander unabhängig arbeitenden Authentisierungselementen aus den Bereichen Wissen (Passwörter, Codes), Besitztum (EC-Karte, TAN-Generator, Smartphone) und Vererbung (biometrische Eigenschaften wie Fingerabdruck oder Iris ) genehmigt werden. Außerdem muss die UnabhÃ?ngigkeit der eingesetzten Komponenten gewÃ?hrleistet sein, damit ein Kompromissfaktor nicht auch das zweite Authentisierungselement ausmacht.
"â??Unsere Forschung hinterfragt die UnabhÃ?ngigkeit der Authentisierungselemente, wenn beide Komponenten - in diesem Falle die Bank-App und die photoTAN-App - auf dem gleichen Handy laufen. Dieser Befund bezieht sich nicht nur auf die von uns ausgewerteten pushTAN- und photoTAN-Prozesse, sondern kann auch auf alle app-basierten Authentifizierungsprozesse im Online-Banking angewendet werden", resümiert Haupert.
Allerdings muss der Vorteil des Mobile Banking nicht geopfert werden, aber man sollte einen speziellen PhotoTAN-Generator verwenden, der von der Hausbank bereitgestellt wird.
Die Kreditinstitute berechnen für die Kontokorrentkredite jedoch weiterhin durchschnittlich 11 Prozent Zins (Berliner und Dt. Bankguthaben 11,8 Prozent, 11,15 Prozent, Commerzbank 11,4 Prozent). Sie ist seit 2006 eine Tochtergesellschaft der DS. Sie ist seit 2006 eine Tochtergesellschaft der Dt. Bundesbank. Aus ihr wird die Dt. Bundesbank.... - Deutsches Bankwesen AG, AG, Schneider Elektric und CC ComputNet AG, Millenniumskonzept.....
Die Kreditinstitute berechnen für die Kontokorrentkredite jedoch weiterhin durchschnittlich 11 Prozent Zins (Berliner und Dt. Bankguthaben 11,8 Prozent, 11,15 Prozent, Commerzbank 11,4 Prozent). Die Kreditinstitute berechnen für die Kontokorrentkredite jedoch weiterhin durchschnittlich 11 Prozent Zins (Berliner und Dt. Bankguthaben 11,8 Prozent, 11,15 Prozent, Commerzbank 11,4 Prozent).
Die Datenerhebung beim Kreditantrag erfolgt durch: smava GmbH Kopernikusstr. 35 10243 Berlin E-Mail: [email protected] Internet: www.smava.de Hotline: 0800 - 0700 620 (Servicezeiten: Mo-Fr 8-20 Uhr, Sa 10-15 Uhr) Fax: 0180 5 700 621 (0,14 €/Min aus dem Festnetz, Mobilfunk max. 0,42 €/Min) Vertretungsberechtigte Geschäftsführer: Alexander Artopé (Gründer), Eckart Vierkant (Gründer), Sebastian Bielski Verantwortlicher für journalistisch-redaktionelle Inhalte gem. § 55 II RStV: Alexander Artopé Datenschutzbeauftragter: Thorsten Feldmann, L.L.M. Registergericht: Amtsgericht Charlottenburg, Berlin Registernummer: HRB 97913 Umsatzsteuer-ID: DE244228123 Impressum