Since its introduction, German online banking has been using a two-factor authentication scheme. Although a combination of a username and a password is sufficient for logging into personal online banking, transactions require a confirmation from an additional factor. To that end, in a second step, banks ask for a transaction authentication number, which the customer creates through an individual transaction confirmation method. The continuous separation between transaction issuing and confirmation was attended by a consistent further development of the security properties of the confirmation methods.

This trend seems to decline as smartphones and tablets become increasingly available and cause a significant shift in the usage patterns and the market. Consequently, both old and new financial institutions adopt a strategy that aims at implementing all processes in an innovative manner through the customer’s mobile device. This development, called mobile banking, does not only mark the creation of banking apps and app-based confirmation methods but also establishes a new authentication paradigm. In contrast to the classic online banking, mobile banking allows for using the same device for transaction issuing and confirmation.

This dissertation deals with the security implications of the introduction of mobile banking. At first, the work identifies a broader attack surface for malware than has been the case so far. We highlight two attacks: First, the software implementation allows an adversary to perform a replication attack that copies the app-based confirmation method entirely to another, unauthorized device. Second, owing to the missing physical separation of issuing and confirmation, a real-time manipulation of a user-initiated transaction becomes possible. Both attacks depend on conceptual deficits that result from the introduction of mobile banking methods without proper hardware protection mechanisms.

As a result, banks attempt to secure their apps through commercial app-hardening products which employ software protection techniques. Additional investigations run rigs around the capabilities of these solutions, emphasizing that they cannot eliminate the conceptual deficits. While this leads to the conclusion that the established banks acknowledge the structural security risks and are willing to address it, the issues of the new participants in the banking market are more profound. This research identified serious security holes at a leading financial startup due to a poor priority of information security.

Moreover, the conceptual and technical deficits are relevant for the regulatory requirements of the security of mobile financial solutions. As part of the Revised Payment Service Directive, the European Union has established statutory provisions that are slated to take effect from September 14, 2019. In the light of this regulation, the dissertation develops general requirements for the security of digital transactions and states broad compatibility with the regulatory terms. Another research topic is the compliance with the directive regarding popular transaction confirmation methods in online and mobile banking. Besides the non-compliance of list-based methods, the thesis also suggests an insufficiency of methods based on the SMS telecommunication service as well as for app-based procedures.

Although the Revised Payment Service Directive ensures increased security in the banking system, the dissertation identified additional weaknesses in the transaction process which are not covered by the regulation and result from human factors. Therefore, as part of a user study, the work deals with the practical security of online banking transactions. The study concludes that the participants are often not aware which steps are essential for security and therefore perform a faulty transaction verification, or omit the verification step altogether. The banks are part of the problem as they provide customers with misleading information.

Owing to the applied nature of this dissertation, the results are relevant not only for the research community but also for the public and regulatory authorities alike. Many contributions of this thesis were received by the press, resulting in an increased awareness of the security of banking among the general population. Additionally, the Federal Office for Information Security has highlighted the importance of our research by mentioning it in the 2018 report on the state of IT security in Germany.

Seit seiner Einführung besticht das deutsche Onlinebanking mit der Sicherheit einer Zwei-Faktor-Authentifizierung. Obwohl für den Zugang zum Onlinebanking Benutzerkennung und Passwort genügen, müssen Transaktionen durch einen zusätzlichen Faktor bestätigt werden. Zu diesem Zweck fordert die Bank traditionell die Eingabe einer Transaktionsnummer, die der Kunde mithilfe seines Sicherungsverfahrens erhält. Das kontinuierliche Festhalten an dieser Trennung von Transaktionsauslösung und -bestätigung war dabei von einer anhaltenden Verbesserung der Sicherheitseigenschaften der Legitimierungsverfahren begleitet.

Dieser Trend droht sich mit der Verfügbarkeit von Smartphones und Tablets jedoch umzukehren und führt im Privatkundengeschäft der Banken zu deutlichen Nutzungs- und Marktverschiebungen. Denn alte wie neue Finanzdienstleister adaptieren eine Strategie, die möglichst alle Prozesse auf innovative Art und Weise durch das Mobilgerät des Kunden abbilden soll. Diese als Mobilebanking bezeichnete Entwicklung begründet nicht nur die Einführung von Banking-Apps und App-basierten Legitimierungsverfahren, sondern auch ein völlig neues Authentifizierungsparadigma, das es im Kontrast zum klassischen Onlinebanking erstmalig ermöglicht, alle Bankgeschäfte von ein und demselben mobilen Endgerät auszulösen und zu bestätigen.

Die Dissertation beschäftigt sich mit den Sicherheitsimplikationen, die sich durch das Aufkommen des Mobilebankings ergeben. Hierbei wird in der Arbeit zunächst festgestellt, dass sich mehr Angriffsmöglichkeiten durch Schadprogramme ergeben, als dies bisher der Fall war. Im Zentrum stehen zwei Angriffe: Erstens erlaubt die Softwareimplementierung dem Angreifer, einen Replikationsangriff durchzuführen, bei dem das App-basierte Legitimierungsverfahren in vollem Umfang auf ein unautorisiertes Gerät kopiert wird. Zweitens wird durch die fehlende Medientrennung zwischen Auslösung und Bestätigung die Echtzeitmanipulation einer nutzerinitiierten Transaktion möglich. Beide Angriffe fußen auf konzeptionellen Defiziten, die darauf zurückzuführen sind, dass die Mobilebanking-Verfahren ohne adäquate Hardwaremöglichkeiten zur Absicherung eingeführt wurden.

Aus diesem Grund versuchen die Banken ihre Apps durch kommerzielle Härtungsprodukte auf Softwareebene zu schützen. Weiterführende Untersuchungen zeigen solchen Lösungen jedoch klare Grenzen auf und machen deutlich, dass auch sie die konzeptionellen Defizite nicht ausgleichen können. Während den etablierten Banken damit zumindest attestiert werden kann, das strukturelle Sicherheitsrisiko zu kennen und adressieren zu wollen, reichen die Probleme bei neuen Marktteilnehmern weiter. Forschungen im Rahmen dieser Dissertation haben bei dem derzeit führenden deutschen Finanz-Start-up gravierende Sicherheitsmängel identifiziert, die ihre Ursache in einer mangelnden Priorität der IT-Sicherheit finden.

Die ermittelten Defizite sind auch in Bezug auf regulatorische Vorgaben zur Sicherheit mobiler Finanzlösungen relevant. Im Rahmen der Zahlungsdiensterichtlinie II hat die Europäische Union Vorgaben auf den Weg gebracht, die ab dem 14. September 2019 in Geltung treten. Die Dissertation beschäftigt sich in diesem Zusammenhang damit, welche Anforderungen an die Sicherheit digitaler Transaktionen allgemein zu stellen sind und konstatiert im Vergleich mit den rechtlichen Vorgaben weitgehende Kompatibilität. Weiterer Untersuchungsgegenstand ist die Richtlinienkonformität gängiger Sicherungsverfahren im Online- und Mobilebanking. Neben der Nichtkonformität listenbasierter Verfahren legt die Arbeit auch eine Unzulänglichkeit von Verfahren auf Basis des SMS-Telekommunikationsdienstes sowie unter der Verwendung von App-basierten Methoden nahe.

Obwohl die Richtlinie für eine Erhöhung des Sicherheitsniveaus bei Bankgeschäften sorgt, identifiziert die Abhandlung weitere Schwachstellen im Transaktionsprozess, die von der Regulierung nicht erfasst werden und ihre Ursache auch in menschlichen Faktoren finden. Die Arbeit setzt sich deshalb in einer Nutzerstudie mit der praktischen Sicherheit von Transaktionen beim Onlinebanking auseinander. Die Studie kommt zum Schluss, dass die Teilnehmer sich oft nicht im Klaren sind, welche Schritte für die Sicherheit essentiell sind, weshalb sie Transaktionsdaten gar nicht oder nur fehlerhaft prüfen. Die Banken sind dabei Teil des Problems, da sie dem Kunden mitunter irreführende Informationen zur Verfügung stellen.

Die Ergebnisse dieser Arbeit haben aufgrund ihrer angewandten Natur neben der Forschung auch Relevanz für die Öffentlichkeit sowie die Aufsichtsbehörden. Viele Beiträge der Dissertation wurden durch die Presse rezipiert, wodurch ein Sicherheitsbewusstsein für Bankgeschäfte in der Gesamtbevölkerung gefördert wird. Darüber hinaus stellt auch das Bundesamt für Sicherheit in der Informationstechnik die Bedeutung der Arbeit heraus, indem Teile davon Erwähnung im Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2018 fanden.