"Wir haben die Meridea 2FA-Anwendung genau untersucht und konnten keine konzeptionellen Schwächen finden, die ein Krimineller ausnutzen könnte", bestätigt Maximillian Dornseif, ein Spezialist für Internet-Sicherheit an den Universitäten Aachen und Mannheim und Mitglied der auf Sicherheitsüberprüfungen spezialisierten Expertengruppe "RedTeam Pentesting".
"Es ist für einen Angreifer heute praktisch unmöglich, gleichzeitig den PC und das Mobiltelefon eines Opfers zu penetrieren", erklärt Dornseif .
Doppelte Sicherheit per Handy
En detail funktioniert die Meridea-Software folgendermaßen: Wenn ein Kunde eine Online-Überweisung auf seinem PC vorbereitet, stellt ihm seine Bank einen so genannten "Challenge Code" zur Verfügung. Diese Nummer ist an diese bestimmte Transaktion gebunden. Nun gibt der Kunde den Code in die auf seinem Mobiltelefon installierte 2FA-Maske ein. Stammt der eingegebene Challenge Code nicht von seiner Bank, erscheint auf dem Handy-Display ein Warnhinweis, mit der Bitte zu prüfen, ob er wirklich auf der Website seiner Bank ist.
Ist der Challenge-Code echt, sieht der Kunde die Details seiner vorbereiteten Überweisung auf dem Handydisplay: Informationen über den Überweisungsbetrag und die Kontonummer des Empfängers. Stimmen diese Angaben, bestätigt dies der Kunde mit seiner geheimen PIN.
Daraufhin erscheint auf dem Handydisplay ein "Response-Code". Das ist eine TAN, mit der der Kunde die doppelt geprüfte Transaktion freigeben kann - und zwar ausschließlich diese Transaktion. Diese TAN gibt der Kunde dann über den PC auf der Website seiner Online-Banking-Anwendung ein, und die Überweisung wird ausgeführt.