So wirbt die Sparkasse immer noch für ihr Onlinebanking mit dem push-TAN-Verfahren auf ihrer Homepage: „Denn der entscheidende Vorteil der pushTAN ist, dass Sie keine weiteren Zusatzgeräte brauchen.“ Was die Sparkasse als Vorteil preist, ist nach Ansicht von Sicherheitsexperten aber der entscheidende Nachteil des Konzeptes.
Beim aktuell laufenden Hackerkongress 32C3 des Chaos Computer Clubs (CCC) in Hamburg erklärte der Erlanger Student Vincent Haupert gestern, wie er das pushTAN-System der Sparkasse hackte, und das zum wiederholten Male.
Schon im Oktober hatte Haupert gezeigt, wie sich das Verfahren der Sparkasse locker überlisten lässt. Denn es basiert auf einer App für das eigentliche Onlinebanking und einer weiteren App für das TAN-Verfahren. Dabei sind die Apps so eng gekoppelt, dass sich die übermittelte TAN direkt auf die Banking-App übertragen lässt.
Der Student entschied sich dafür, diese Transaktion zu manipulieren. Weitere Angriffsmethoden hätten zum Beispiel darin bestanden, die S-pushTAN-App mitsamt ihren Daten einfach zu klonen.
Auch ein Reverse-Engineering der Transaktionsprotokolle sei möglich. Mit Hauperts Methode wird den Nutzern der Sparkassen-App die von ihnen gewünschte Transaktion vorgegaukelt, dabei aber im Hintergrund ein ganz anderer Betrag auf ein vom Betrüger angegebenes Konto überwiesen.