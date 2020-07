Mangelhafte TAN-Prüfung bei Sparda-Banken

Sparda-Banken haben beim Anpassen von Daueraufträgen eine etwaige Änderung der Ziel-IBAN nicht in das chipTAN-Verfahren einfließen lassen. Malware hätte das ausnutzen können, um Aufträge umzuleiten.

Dauerauftrag anlegen, IBAN und Betrag im TAN-Generator bestätigen, TAN eingeben: So soll es sein und nur so hat man auch die Garantie, dass keine Malware IBAN oder Betrag verändert hat. Die manipulierten Daten würden dann nämlich vom TAN-Generator angezeigt. Umso erstaunter war ein Sparda-Kunde, dass er beim nachträglichen Ändern eines solchen Auftrags keine IBAN von seinem chipTAN-Generator präsentiert bekam. Etwas konsterniert wandte er sich an c’t.

Wir konnten das Problem bei der Sparda-Bank München reproduzieren: Änderte man im Webbanking einen Dauerauftrag, dann wurde vom chipTAN-Generator nur der neue Betrag angezeigt. Ein geänderter Empfänger war am Generator nicht zu erkennen. Malware auf dem Rechner des Nutzers hätte dadurch die IBAN verdeckt manipulieren und Daueraufträge umleiten können. Wenn die Malware geschickt vorgeht, sieht man das auch später im Webbanking nicht, sondern nur, wenn man auf einem alternativen Weg sein Konto in Augenschein nimmt – etwa über einen anderen Computer oder am Bankautomaten.