Eines der Smartphones, das soll diese Demonstration zeigen, könnte einem Hacker gehören. Würde Haupert die Überweisung bestätigen, würde das Geld auf ein Bankkonto gutgeschrieben, das an keiner Stelle der App je zu sehen war. Sämtliche Daten werden erst an Rechner geschickt, die die Forscher kontrollieren. So konnten sie eine neue Iban-Nummer eingeben, aber die App dazu zwingen, weiterhin die ursprüngliche Nummer anzuzeigen.

Den Forschern ist es gelungen, nicht bloß die Schutzmechanismen einer App zu überwinden. Sie können mit ihrem Hack 31 Finanz-Apps austricksen und sie übernehmen. Der Süddeutschen Zeitung demonstrierten Haupert und Schneider eine ganze Palette von Angriffen: vom unerlaubten Ausführen und Kopieren der App bis hin zum Ändern der Iban-Nummer und dem Versenden der Transaktionsnummer (Tan) auf beliebige Geräte. Tans sind Einmal-Passwörter, mit der Überweisungen bestätigt werden müssen. Für kriminelle Hacker wäre es damit möglich, Geld von Bankkunden unbemerkt auf eigene Konten umzuleiten. Zu den betroffenen Banken in Deutschland gehören unter anderem die Commerzbank, die Stadtsparkassen, Comdirect und die Fidor-Bank.

Sowohl Banken als auch Fintech-Startups wie N 26 erklären mobiles Banking zur Lebensart einer Gesellschaft, die sensible Daten aller Art auf ihren Smartphones speichert - und eben auch vom Handy aus darauf zugreifen will. Also investieren Banken und Start-ups immense Summen in diesen Bereich. Für Banking-Kunden soll es so komfortabel wie möglich sein, Geschäfte unterwegs zu erledigen. Bietet die erste Bank an, Überweisung und Bestätigung auf einem Gerät abzuwickeln, setzt das die Konkurrenz unter Druck. Die Kunden fragen schließlich nach.

Mit einem Schlüssel lassen sich mehrere Schlösser auf einmal öffnen

Voraussetzung für den Angriff ist, dass Kunden Banking-App und Tan-App auf demselben Smartphone verwenden. Nach einer repräsentativen Umfrage des Branchenverbands Bitkom verlassen sich mittlerweile 30 Prozent auf ein mobiles Gerät - also Smartphone oder Tablet -, um Bankgeschäfte zu erledigen. Genaue Zahlen darüber, ob beide Apps auf einem Gerät genutzt werden, gibt es nicht. Insgesamt fünf Millionen Kunden nutzen Apps für mobiles Banking bei den Sparkassen, heißt es auf Anfrage. Die Apps, die der IT-Dienstleister Fiducia Gad bereitstellt - zum Beispiel für die Volksbanken-Raiffeisenbanken -, seien "bereits millionenfach heruntergeladen" worden; doch "nur sehr wenige der Online-Banking-Nutzer" würden auch das Tan-Verfahren mobil nutzen. Davon raten die Forscher auch ab: "Wir wollen zeigen, dass es unzureichend ist, sich für Online-Banking ausschließlich auf das Smartphone zu verlassen", sagt Haupert. Es gebe keinen richtigen Weg, sich bei Banking-Verfahren auf ein einzelnes Gerät zu verlassen.

Möglich wird der Angriff, da alle betroffenen Apps offenbar auf denselben Dienstleister zurückgreifen: Promon. Der Technikchef der Firma bestätigt in einem Telefongespräch die Ergebnisse der Forscher, schränkt aber ein: "Es ist wichtig zu erwähnen, dass es keinem Kriminellen gelungen ist, unsere Sicherheitslösungen zu umgehen." Promon habe rund 100 Kunden und schütze insgesamt 100 Millionen Nutzer weltweit. Die Firma stehe bereits mit Haupert in Kontakt und arbeite daran, die Sicherheitslücken zu schließen.

Promon wirbt in einem Video damit, Smartphones auch dann zu schützen, wenn diese mit Schadsoftware infiziert sind. Also haben die beiden IT-Sicherheitsforscher eine bereits bekannte Sicherheitslücke auf dem Gerät platziert. Sie können damit legitime Apps mit Schadcode füttern, sie also faktisch kontrollieren. Den Forschern zufolge habe Promon mehrere Maßnahmen eingeführt, die sie "nicht so schlecht" finden. Die Schutzmechanismen sind mit der Banking-App verzahnt; läuft die Banking-App, tauscht sie ständig Informationen mit Promon aus. Entfernen Hacker Promon, funktioniert die App nicht mehr, da die Informationen unvollständig sind.

Den Forschern ist es aber gelungen, die App Schritt für Schritt zu analysieren und nachzuvollziehen, wie die Informationen abgesichert werden. Sie sind auf eine Anleitung gestoßen, wie Promons Lösung en détail funktioniert. Sie fanden heraus, dass sich alle Sicherheitsmaßnahmen abschalten lassen. Dies zu bewerkstelligen, erfordert allerdings einen komplexen Angriff, den Haupert Ende dieses Jahres auf der Hackerkonferenz des Chaos Computer Club präsentieren wird. Ein bis zwei Monate würden versierte Hacker brauchen, um den Angriff nachzubauen, trotz Anleitung. Aus Sicherheitsgründen wird der Code dennoch nicht veröffentlicht.

Es handle sich aber um einen Angriff, der sich lohne, sagt Schneider: "Man kann Promon mit einem Schloss vergleichen, das nicht so leicht zu knacken ist. Wenn man aber mehrere Schlösser mit demselben Schlüssel öffnen kann, stehen uns viele Türen offen." Das hebt auch Jens Obermöller hervor. Er leitet den Bereich IT-Sicherheit der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin): "Wir haben es in diesem Bereich mit Konzentrationsrisiken zu tun. Eine einzelne Schwachstelle kann dazu führen, dass viele Marktteilnehmer davon betroffen sind." Das sei ein klassisches Problem der IT-Sicherheit. Obermöller sagt aber auch, dass es eine Kehrseite gebe, die man beachten müsse: "Konzentration bedeutet auch, dass sich jemand spezialisiert. Das kann durchaus Vorteile haben. Es ist schwer für einzelne Banken, diese Expertise im eigenen Haus aufzubauen."

Die Forscher könnten sich Geld von fremden Konten überweisen lassen

Auf Nachfrage teilen alle betroffenen Banken mit, IT-Sicherheit ernst zu nehmen und sich die Ergebnisse des Forschers genau anzuschauen. Comdirect lässt wissen, dass "in der Praxis ein massentauglicher Angriff deutlich schwieriger" sei. Ein Sprecher der Sparkasse ergänzt: "Das von uns umgesetzte Verfahren, beide Kanäle auf einem Gerät zu nutzen, sehen wir unter Abwägung von Risiko und Kundennutzen als geeignet an." Die Banken sind sich also des Risikos bewusst. Sie wägen ab, nach Beobachtung von Angriffen, die ihnen bekannt sind. Damit verlagern sie den Fokus vom Verhindern aller Angriffe auf ein schnelles Erkennen, wenn Hacker zuschlagen.

Aus dem Bankenumfeld ist auch Verwunderung darüber zu hören, dass Haupert die Entwickler nicht gewarnt hat. Im Bereich der IT-Sicherheit ist es üblich, Firmen drei Monate Zeit zu geben, um Lücken zu schließen, bevor die Öffentlichkeit informiert wird. Haupert entgegnet, dass es sich um ein konzeptionelles Problem handelt. Solange man zulasse, Banking über ein Gerät abzuwickeln und abzusegnen, sei das Verfahren unsicher.