Neues App-basiertes TAN-Verfahren vergleichsweise unsicher
Während das etablierte chipTAN-Verfahren als sicher gilt, wird sein Komfort oft bemängelt. Mehrere deutsche Geldhäuser führen deshalb zur Zeit ein neues App-basiertes TAN-Verfahren ein, das mobiles Onlinebanking auf dem Smartphone ermöglicht. Unsere Mitarbeiter Vincent Haupert und Tilo Müller konnten nun allerdings nachweisen, dass das neue Verfahren einen deutlichen Sicherheitsnachteil gegenüber den etablierten Verfahren hat. Das neue Verfahren opfert die hohen Sicherheitsstandards, wie sie z. B. bei dem chipTAN-Verfahren zu finden sind, zugunsten des Komforts. Zur Demonstration ihrer Behauptung haben Haupert und Müller einen Angriff realisiert, bei dem manipulierte Transaktionen per App bestätigt werden. Die Sicherheitsprobleme sind nicht durch verbesserte Programmierung lösbar, sondern liegen in der Struktur des Verfahrens begründet, nämlich einer konzeptionell schwachen “Zwei-Faktor-Authentifikation”.