33C3: Kritische Sicherheitslücken beim Finanz-Start-up N26

Sicherheitsforscher Vincent Haupert demonstriert die einfache Ausnutzung der Schwachstellen mit potenziell gravierenden Folgen. Das von ihm vorher informierte Unternehmen hat die Lücken inzwischen geschlossen. Haupert wirft den Fintechs jedoch vor, hippes Design statt Sicherheit zu priorisieren.

Der Erlangener Sicherheitsforscher Vincent Haupert hat auf dem 33. Chaos Communication Congress (33C3) gravierende Sicherheitsmängel bei Finanz-Start-ups angeprangert, die als Fintechs bekannt sind. Er zeigte am Beispiel des europaweit tätigen N26 – zuvor als Number 26 bekannt – die relativ einfache Ausnutzung der Schwachstellen mit potenziell gravierenden Folgen auf.

Security (Bild: Shutterstock)

Unabhängig vom benutzten Gerät gelang es demnach, an Kundendaten zu kommen, Transaktionen in Echtzeit zu manipulieren, Konten zu übernehmen und schließlich willkürliche Transaktionen zu veranlassen – selbst ohne vorhandenes Guthaben. Bei CCC-TV ist die Videoaufzeichnung des Vortrags zur „Roten Pille von N26-Sicherheit“ abrufbar.

Haupert informierte das Berliner Start-up N26 am 25. September 2016 über die Sicherheitslücken und stellte dem Finanzdienstleister eine Frist, diese bis zu seinem Vortrag zu beheben. Das ist offenbar geschehen, und das Unternehmen soll sich dabei auch ausgesprochen professionell und freundlich verhalten haben. Der Sicherheitsforscher stellte den Kontakt allerdings vorsichtshalber auch über den bekannten Chaos Computer Club her, da auf Schwachstellen angesprochene Unternehmen manchmal auch mit der Rechtsabteilung reagieren, statt eine hoffentlich vorhandene Sicherheitsabteilung darauf anzusetzen.

Grundsätzlich wirft Haupert nach dieser Erfahrung Fintechs vor, dass sie sich vor allem auf hippes Design und eine außergewöhnliche Nutzererfahrung kaprizieren. Das sei oft ihre einzige Priorität in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war. Das bringe den Fintech-Unternehmen Vorteile im direkten Wettbewerb mit lange etablierten Banken, denen sie mit ihrer konsequenten Mobile-First-Strategie Kunden abwerben können.

Der Sicherheitsforscher sieht dahinter aber auch ein grundfalsches Verständnis von Sicherheit. „Die Fintechs spielen jedoch eine wichtige Rolle im voranschreitenden Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen“, erklärt er. Damit erfolge der nächste Schritt im Verfallsprozess der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begann. „Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.“

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim letztjährigen CCC-Kongress nahm er sich die damals jüngste Version der PushTAN-App der Sparkasse vor und zeigte auf, wie sie sich erneut aushebeln ließ. Dieses Verfahren kritisierte er als von Grund auf anfällig.

N26 hat inzwischen auch seine Kunden auf die Sicherheitsprobleme angesprochen, stellt diese jedoch als weit weniger dramatisch dar. In einem Blogeintrag ist von „eventuellen Sicherheitslücken“ die Rede, die inzwischen vollständig geschlossen seien. Bis heute seien keine Schadensfälle durch den „theoretischen Zugriff“ bekannt. „Als N26-Kunden müsst ihr nichts weiteres machen, als eure Apps up to date halten“, heißt es beruhigend. Immerhin hat das Start-up angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.

Themenseiten: App, Banking, Chaos Computer Club, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu 33C3: Kritische Sicherheitslücken beim Finanz-Start-up N26

Kommentar hinzufügen
  • Am 29. Dezember 2016 um 10:03 von I. Bissig

    Ich persönlich bin froh über die schludrige (Nicht-) Implementierung von Sicherheitsfunktionen durch die Fintechs. Finanzhacker werden sich erst dieser einfachen Aufgabe zuwenden, bevor sie sich an richtige Bankapplikationen ranmachen. Damit werden die Schäden primär die hippen Mobile-Trottel treffen und weniger ernsthafte Anwender von Finanzsoftare.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *