Sicherheitsforscher Vincent Haupert: “Die Banken sind Teil des Problems”

Vincent Haupert ist spätestens seit seinen spek­ta­ku­lä­ren Hacks auf dem CCC mit den Demos zu Angriffen auf Push-TAN, die Banking Apps von N26 und die Produkte des Software Providers Promon Shield über die Banking-Szene hinweg bekannt. Jetzt hat der Sicherheitsexperte der Uni Er­lan­gen-Nürn­berg sei­ne Pro­mo­ti­on er­folg­reich ab­sol­viert. Sei­ne Dis­ser­ta­ti­on wird von fünf For­schungs­fra­gen zur Si­cher­heit des Mo­bi­leban­king ge­lei­tet. Be­son­ders er­freu­lich ist, die Ar­beit steht nun für jedermann frei verfügbar im Netz.

von Rudolf Linsenbarth

Der Inhalt die­ser Dis­ser­ta­ti­on ist nicht nur für die For­schung, son­dern auch für die Wirt­schaft, Recht­spre­chung, Bun­des­be­hör­den und die all­ge­mei­ne Be­völ­ke­rung von In­ter­es­se. Vie­le Aus­sa­gen wur­den durch die Pres­se auf­ge­grif­fen und ha­ben da­mit ein Si­cher­heits­be­wusst­sein für Bank­ge­schäf­te gefördert.

Auch das Bundesamt für Sicherheit in der Informationstechnik zitierte bereits Teile dieser Arbeit in seinem Bericht zur Lage der IT-Sicherheit.”

Für alle, denen 221 Seiten zu viel sind, habe ich hier die aus meiner Sicht wichtigsten Inhalte zu­sam­men­ge­fasst. Die kla­re und ein­fa­che Spra­che er­mög­lich­te es mir, gan­ze Pas­sa­gen wört­lich zu über­neh­men, wo­zu ich mir vor­ab das Ein­ver­ständ­nis des Au­tors ein­ge­holt ha­be. Dem Fach­pu­bli­kum und in­ter­es­sier­ten Nut­zern emp­feh­le ich trotz­dem, die gan­ze Ar­beit zu lesen.

Voranstellen möchte ich zunächst die fünf Forschungsfragen der Dissertation:

1. Einordnung Mobilebanking
Wie grenzt sich Mobilebanking zum Onlinebanking hin ab und welche neuen Formen von App-basierten Legitimierungsverfahren gibt es?
2. Angriffsfläche Mobilebanking
Welche konzeptionellen Angriffsmöglichkeiten ergeben sich gegen die neue Infrastruktur im Mobilebanking? Über welche Schutzmaßnahmen verfügen die App-basierten Lösungen und wie wirksam sind sie?
3. FinTech-Sicherheit
Geht die Priorisierung der FinTech-Banken auf ein mög­lichst be­que­mes Benutzererlebnis zulasten der Sicherheit?
4. Regulierung
Welche Anforderungen sind allgemein an sichere digitale Transaktionen zu stellen? Genügen die Vorgaben der Regulatory Technical Standards (RTS) diesen allgemeinen Anforderungen? Entsprechen die gängigen Legitimierungsverfahren im Online- und Mobilebanking den regulatorischen Vorgaben? Welche Schwachstellen sind bei digitalen Bankgeschäften auch nach Inkrafttreten der RTS noch offen?
5. Sorgfaltspflichten
Sind Nutzer des Onlinebankings in der Lage, eine manipulierte Überweisung durch korrekte Verifikation der Auftragsdaten in ihrem Sicherungsverfahren gemäß ihren Sorgfaltspflichten zu erkennen?

Nun zur eigentlichen Arbeit, grob gefasst ist diese in sieben Teile strukturiert. Dabei enthalten die wesentlichen Themenkomplexe immer eine Diskussion und ein Fazit.

Im einleitenden Teil werden neben der Motivation und den Forschungsfragen auch die bisherigen Publikationen zum Thema vorgestellt.

Teil 2 beschreibt den Übergang vom Online- zum Mobilebanking. Nach Abhandlung der Grundlagen werden zuerst die klassischen Sicherungsverfahren und danach die App-basierten Sicherungsverfahren vorgestellt.

Teil 3 ist der Sicherheit beim Mobilebanking gewidmet. Die Komponenten hier sind die Angreifermodelle, die Sicherheit mobiler Endgeräte im Allgemeinen sowie grundsätzliche Angriffe im Speziellen.

Die Grenzen der App-Härtung werden im 4. Teil erläutert. Nach einem Marktüberblick kommt eine Fallstudie zum Produkt Promon-Shield.

Im 5. Teil mit dem Titel FinTech-Sicherheit am Beispiel N26 geht Haupert in die Details seines Hacks. Er beschreibt die Sicherheitsdefizite, die Angriffsszenarien und die Reaktionen.

Teil 6 befasst sich passenderweise mit Bankgeschäften unter der PSD2. Neben den allgemeinen und regulatorischen Voraussetzungen geht es hier auch um die Konformität etablierter Sicherungsverfahren sowie einem Ausblick auf potenzielle Angriffe.

Der 7. Teil schließlich beleuchtet die Sorgfaltspflicht des Kunden in der Praxis.

Das Abstrakt zur Security-Banking-Dissertation

Bisher dominierte im deutschen Onlinebanking folgende Aufteilung: Für den Zugang zum Onlinebanking genügten Benutzerkennung und Passwort; Transaktionen mussten durch einen zusätzlichen Faktor bestätigt werden. Im Kontext der Verfügbarkeit von Smartphones und Tablets ergeben sich tiefgreifende Veränderungen.

Das neue Mobilebanking mit Banking-Apps und App-basierten Legitimierungsverfahren bringt auch ein völlig neues Authentifizierungsparadigma. Im Gegensatz zum klassischen Onlinebanking wird hier ermöglicht, alle Bankgeschäfte von ein und demselben mobilen Endgerät auszulösen und zu bestätigen.

Durch die fehlende Medientrennung ergeben sich neue Angriffe, die darauf zurückzuführen sind, dass viele Mobilebanking-Verfahren ohne adäquate Hardwaremöglichkeiten zur Absicherung eingeführt wurden.”

Die ermittelten Defizite sind auch in Bezug auf regulatorische Vorgaben zur Sicherheit mobiler Finanzlösungen relevant. Im Rahmen der PSD2 hat die Europäische Union Vorgaben auf den Weg gebracht, die ab dem 14. September 2019 zur Anwendung kommen sollen.

Neben der Nichtkonformität listenbasierter Verfahren (iTAN) sieht Haupert auch Unzulänglichkeiten in der Verwendung von SMS-TAN sowie bei den App-basierten Methoden.

Obwohl PSD2 für eine Erhöhung des Sicherheitsniveaus bei Bankgeschäften sorgen soll, werden weitere Schwachstellen im Transaktionsprozess, deren Ursache im menschlichen Faktor liegen, von der Regulierung nicht erfasst.

Vincent Haupert kommt zu dem Schluss, dass die Teilnehmer sich oft nicht im Klaren sind, welche Schritte für die Sicherheit essentiell sind, weshalb sie Transaktionsdaten gar nicht oder nur fehlerhaft prüfen.

Die Banken sind dabei Teil des Problems, da sie dem Kunden mitunter irreführende Informationen zur Verfügung stellen.”

Die Thesen

1. Der Paradigmenwechsel vom On­line- zum Mo­bi­le­ban­king führt zu App-­ba­sier­ten Le­gi­ti­mie­rungs­ver­fah­ren und löst die Ge­rä­te­tren­nung auf.
2. Mobilebanking und App-basierte Legitimierungsverfahren führen zu neuen konzeptionellen Angriffsmöglichkeiten.
Ursächlich ist das Fehlen einer sicheren Anzeige, was dazu führt, dass das WYSIWYS-Prinzip ausgehebelt wird.
3. Härtungsmaßnahmen Dritter können die konzeptionellen Schwächen des Mobilebankings systembedingt nur unzureichend adressieren.
Die Dominanz eines einzigen Herstellers auf dem deutschen Mobilebanking-Markt führt außerdem dazu, dass sich der Schutz der wichtigsten Banking-Apps und App-basierten Legitimierungsverfahren mit demselben Angriff vollständig ausschalten lassen.
4. Die einseitige Fokussierung auf das Benutzererlebnis des Kunden geht zulasten der IT-Sicherheit von FinTech-Apps.
5. Die regulatorischen Vorschriften erhöhen die Sicherheit im Online- und Mobilebanking, bieten aber einen hohen Interpretationsspielraum.
Es ist nicht zu erwarten, dass die europäische oder die nationale Bankenaufsichtsbehörde die Vorgaben rigoros umsetzt, weshalb die smsTAN und die App-basierten Verfahren in ihrer bestehenden Form weiter Einsatz finden werden.
6. Das Angriffspotenzial bleibt auch im Geltungsbereich der RTS hoch
Angreifbar sind insbesondere die Zwischenablage, digitale Rechnungen, Überweisungsvorlagen, die SMS-Autovervollständigung unter iOS und die Verifikation durch den Nutzer.
7. Selbst technisch hochsichere Verfahren führen in der Praxis nicht zu sicheren Transaktionen
Ein wesentlicher Grund besteht darin, dass sich der Verwender oft nicht im Klaren darüber ist, welche Elemente im Transaktionsprozess vertrauenswürdig sind. Die Banken fördern dieses Verhalten durch das Darstellen irreführender Informationen.

Der Ausblick

Der Umbruch in der Branche der mobilen Finanzdienstleistungen steht noch am Anfang. In den folgenden Jahren steht der Fokus auf diesen Themen:

1. Implementierung
Hier muss geprüft werden, ob Hardwaremaßnahmen genutzt werden und ob sie auch korrekt implementiert wurden.
2. Konformität
Die Praxis, dass der Regulator selbst keine technischen Überprüfungen durchführt und sich stattdessen auf die Angaben der Institute verlässt, ist zu hinterfragen. Die Eignung von Inhärenz-Elementen, die nicht auf biometrischen Merkmalen fußen, ist zu prüfen. Hier geht es um die Authentifizierung anhand des Benutzerverhaltens.
3. Registrierung und Identifizierung
Der Registrierungsprozess von App-basierten Verfahren kann eine Schwachstelle darstellen. Daher Bedarf es eines besonderen Augenmerks auf die Sicherheitsmerkmale, die die Institute für die Einrichtung und Personalisierung ihrer Apps einsetzen. Die Frage nach der Sicherheit von Identifizierungsdienstleistern, die den Nutzer online ausweisen, erscheint kritisch.
4. PSD2 APIs
Mit den neuen Drittdiensten gemäß PSD2 wird diesen das Abfragen und Verarbeiten der Zugangsdaten explizit gestattet. Vonseiten der IT-Sicherheit stellt sich die Frage, ob diese Schnittstellen sicher konzipiert und implementiert werden.
5. FinTech-Sicherheit
Die Zwangsöffnung der Banken führt dazu, dass die hochsensiblen Zahlungsdaten der Kunden zukünftig bei verschiedenen Anbietern – zumeist FinTechs – vorgehalten werden. Auch vollständig regulierte Unternehmen sind keine Garantie für eine besondere Sicherheit. Dem Rückbau von Sicherheitseigenschaften, mit dem Verweis auf Haftungsübernahmen, muss entgegengetreten werden.

Sicherheit bedeutet nicht, dass man sich sicher sein kann, sein Geld zurückzuerhalten, sondern es erst gar nicht zu verlieren.”Rudolf Lisenbarth