In dem ganzen Silvester-Trubel ist es etwas untergegangen: Das PushTAN-Verfahren der Sparkasse und anderen soll alles andere als sicher sein. Meistens ist das ja so, dass ein solches Verfahren nur unter bestimmten Voraussetzungen Schwachstellen aufzeigen könnte. Aber es kann ja sein, dass hier wirklich eine Lücke klafft. Schauen wir also mal hin.
Im Herbst diesen Jahres habe ich meine Bankgeschäfte umgezogen. Die Deutsche Bank war mir einfach zu träge. Und da ich vor vielen Jahren sehr lange Zeit Kunde der Bank war, war das natürlich meine erste Anlaufstelle. Ich denke auch, dass ich prinzipiell erstmal nicht viel verkehrt gemacht habe. Nun lese ich seit Tagen von dem PushTAN-Verfahren beim Online-Banking, dass es unsicher sei.
Wir werden alle sterben, weil das Verfahren unsicher ist. Aber dann lese ich etwas genauer. Beim Hacker-Kongress des Chaos Computer Clubs in Hamburg, dem 32C3, wurde PushTAN nämlich das zweite Mal in Folge erfolgreich ausgehebelt. Dies wird möglich, weil sich das Online-Banking als App und die App zum Generieren der TAN zur Legitimation einer Überweisung auf dem gleichen Smartphone befinden müssen. Und so etwas bietet dann immer offene Tore für Eindringlinge.
Das Problem ist nicht einem eventuellen Unvermögen irgendeines Kreditinstituts geschuldet. Das Problem liegt am Verfahren selbst. Die Sparkasse kann also nicht wirklich viel dafür. Noch dazu ist PushTAN hauptsächlich dann unsicher, wenn es auf einem gerooteten Android-Gerät betrieben wird. Wenn also ein Nutzer sein Gerät ausgehebelt hat, greift die Sicherheitslücke. Und selbst dann ist die Umgehung der Sicherheitsmechanismen des Verfahrens recht aufwändig.
Das heißt doch eigentlich im Umkehrschluss, dass PushTAN nicht unsicherer als andere Verfahren fürs Online-Banking ist. Es heißt aber auch, dass beim Banking am Rechner, bei dem eine TAN per PushTAN ans Smartphone geschickt wird, nichts passiert. Und eigentlich heißt es auch: Wer sein Smartphone selbst aufbricht, um noch ein paar Dinge mehr zu tun, der darf sich nicht wundern, wenn die Sicherheit auf dem Gerät nicht mehr gegeben ist. Rooting bei Smartphones kann eben auch unerwünschte Wirkungen mit sich bringen.
Das Geschrei, dass die Sparkasse arglos sei und eine unsichere Möglichkeit fürs Online-Banking liefert, ist also wieder nur Marktschreierei. Eine absolute Sicherheit gibt es nicht. Aber PushTAN zu verteufeln und einzig der Sparkasse Fehler unterzujubeln, ist scheinheilig. Wer TAN-Generierung und Online-Banking getrennt auf unterschiedlichen Geräten betreibt, hat eigentlich nichts zu befürchten. Ein Restrisiko bleibt. Aber das ist überall so. Oder glaubt irgendwer was anderes?
3 Replies to “PushTAN – Online-Banking der Sparkasse unsicher?”