02.04.2013, 00:00 Uhr
Berner Fachhochschule findet gravierende Sicherheitslücken beim E-Banking mit mobilen Geräten
Studierende und Forschende des Research Instituts for Security in the Information Society (RISIS) der Berner Fachhochschule haben ein Angriffsszenario via Smartphone auf eine E-Banking Applikation erarbeitet und aufgezeigt, wie einfach diese manipuliert werden kann.
E-Banking ist in unserer Gesellschaft weit verbreitet und gilt als sicher. Doch wie verhält sich das Sicherheitskonzept von Banken, wenn die Überweisung via Smartphone oder Tablet abgewickelt wird? Studierende und Forschende des Research Instituts for Security in the Information Society (RISIS) der Berner Fachhochschule haben ein Angriffsszenario via Smartphone auf eine E-Banking Applikation erarbeitet und aufgezeigt, wie einfach diese manipuliert werden kann.
Das Sicherheitskonzept der Bank geht davon aus, dass die Erfassung der Transaktion und die Anzeige des Transaktionscodes nur vom Mensch gelesen werden kann und über unterschiedliche Geräte erfolgt. Diese Trennung wird nun mit Hilfe des Smartphones überwunden und die Anzeige des Transaktionscodes kann so manipuliert werden, dass Schadprogramme autonom weitere, verborgene Transaktionen tätigen können. Von diesen Überweisungen erfährt der Kunde erst, wenn er den elektronischen Kontoauszug über ein nicht manipuliertes Gerät einsieht, oder diesen per Post zugestellt erhält und überprüft.
Studierenden gelang es problemlos, das Angriffsszenario auf ein E-Banking System umzusetzen. Sie konnten die Transaktion sowie die Anzeige des Transaktionscodes leicht manipulieren. Aber auch E-Banking über konventionelle Computer ist angreifbar. Wird der Code über ein manipuliertes Smartphone angezeigt, kommunizieren die Schadprogramme der unterschiedlichen Geräten zum Beispiel per Ultraschall.
"Die Manipulation von smarten Geräten und deren Applikationen ist im Cloud-Zeitalter sehr einfach geworden. Manipulierte Browser können Schadprogramme eigenständig und unbemerkt darauf installieren. Die Sicherheit etablierter E-Banking Lösungen ist nicht mehr gewährleistet. Dagegen hilft auch der oft verkündete gesunde Menschenverstand seitens der Nutzer nichts. Nur wenn Banken den Einsatz eines Security Tokens anbieten, bei dem die Anzeige und die Tastatur vertrauenswürdig ist, kann ein sicheres E-Banking via Smartphone erfolgen", so Reto König, Professor für Informatik an der Berner Fachhochschule.
Das Research Institute for Security in the Information Society (RISIS) beschäftigt sich mit Sicherheitsfragen in der Informationsgesellschaft. Darunter fallen prominent auch die Gebiete E-Banking und E-Voting. (Patrick Hediger) www.risis.ti.bfh.ch
Das Sicherheitskonzept der Bank geht davon aus, dass die Erfassung der Transaktion und die Anzeige des Transaktionscodes nur vom Mensch gelesen werden kann und über unterschiedliche Geräte erfolgt. Diese Trennung wird nun mit Hilfe des Smartphones überwunden und die Anzeige des Transaktionscodes kann so manipuliert werden, dass Schadprogramme autonom weitere, verborgene Transaktionen tätigen können. Von diesen Überweisungen erfährt der Kunde erst, wenn er den elektronischen Kontoauszug über ein nicht manipuliertes Gerät einsieht, oder diesen per Post zugestellt erhält und überprüft.
Studierenden gelang es problemlos, das Angriffsszenario auf ein E-Banking System umzusetzen. Sie konnten die Transaktion sowie die Anzeige des Transaktionscodes leicht manipulieren. Aber auch E-Banking über konventionelle Computer ist angreifbar. Wird der Code über ein manipuliertes Smartphone angezeigt, kommunizieren die Schadprogramme der unterschiedlichen Geräten zum Beispiel per Ultraschall.
"Die Manipulation von smarten Geräten und deren Applikationen ist im Cloud-Zeitalter sehr einfach geworden. Manipulierte Browser können Schadprogramme eigenständig und unbemerkt darauf installieren. Die Sicherheit etablierter E-Banking Lösungen ist nicht mehr gewährleistet. Dagegen hilft auch der oft verkündete gesunde Menschenverstand seitens der Nutzer nichts. Nur wenn Banken den Einsatz eines Security Tokens anbieten, bei dem die Anzeige und die Tastatur vertrauenswürdig ist, kann ein sicheres E-Banking via Smartphone erfolgen", so Reto König, Professor für Informatik an der Berner Fachhochschule.
Das Research Institute for Security in the Information Society (RISIS) beschäftigt sich mit Sicherheitsfragen in der Informationsgesellschaft. Darunter fallen prominent auch die Gebiete E-Banking und E-Voting. (Patrick Hediger) www.risis.ti.bfh.ch
