Als Kontonummer muss man sich inzwischen eine 22-stellige SEPA-Nummer merken, aber zum Onlinebezahlen reicht eine vierstellige Ziffernkombination mit maximal 1.000 Möglichkeiten – so kennen wir unsere Banken. Sie leben von den Zahlungen und wollen die so einfach wie möglich halten – auch wenn es der Sicherheit mehr als abträglich ist.

So wirbt die Sparkasse immer noch für ihr Onlinebanking mit dem push-TAN-Verfahren auf ihrer Homepage: „Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen.“ Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil des Konzeptes.

Beim aktuell laufenden Hackerkongress 32C3 des Chaos Computer Clubs (CCC) in Hamburg erklärte der Erlanger Student Vincent Haupert gestern, wie er das pushTAN-System der Sparkasse hackte, und das zum wiederholten Male.

Schon im Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse locker überlisten lässt. Denn es basiert auf einer App für das eigentliche Onlinebanking und einer weiteren App für das TAN-Verfahren. Dabei sind die Apps so eng gekoppelt, dass sich die übermittelte TAN direkt auf die Banking-App übertragen lässt.

Der Student entschied sich dafür, diese Transaktion zu manipulieren. Weitere Angriffsmethoden hätten zum Beispiel darin bestanden, die S-pushTAN-App mitsamt ihren Daten einfach zu klonen.

Auch ein Reverse-Engineering der Transaktionsprotokolle sei möglich. Mit Hauperts Methode wird den Nutzern der Sparkassen-App die von ihnen gewünschte Transaktion vorgegaukelt, dabei aber im Hintergrund ein ganz anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen.