33C3: Kritische Sicherheitslücken beim Finanz-Start-up N26

Der Erlangener Sicherheitsforscher Vincent Haupert hat auf dem 33. Chaos Communication Congress (33C3) gravierende Sicherheitsmängel bei Finanz-Start-ups angeprangert, die als Fintechs bekannt sind. Er zeigte am Beispiel des europaweit tätigen N26 – zuvor als Number 26 bekannt – die relativ einfache Ausnutzung der Schwachstellen mit potenziell gravierenden Folgen auf.

Unabhängig vom benutzten Gerät gelang es demnach, an Kundendaten zu kommen, Transaktionen in Echtzeit zu manipulieren, Konten zu übernehmen und schließlich willkürliche Transaktionen zu veranlassen – selbst ohne vorhandenes Guthaben. Bei CCC-TV ist die Videoaufzeichnung des Vortrags zur „Roten Pille von N26-Sicherheit“ abrufbar.

Haupert informierte das Berliner Start-up N26 am 25. September 2016 über die Sicherheitslücken und stellte dem Finanzdienstleister eine Frist, diese bis zu seinem Vortrag zu beheben. Das ist offenbar geschehen, und das Unternehmen soll sich dabei auch ausgesprochen professionell und freundlich verhalten haben. Der Sicherheitsforscher stellte den Kontakt allerdings vorsichtshalber auch über den bekannten Chaos Computer Club her, da auf Schwachstellen angesprochene Unternehmen manchmal auch mit der Rechtsabteilung reagieren, statt eine hoffentlich vorhandene Sicherheitsabteilung darauf anzusetzen.

Grundsätzlich wirft Haupert nach dieser Erfahrung Fintechs vor, dass sie sich vor allem auf hippes Design und eine außergewöhnliche Nutzererfahrung kaprizieren. Das sei oft ihre einzige Priorität in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war. Das bringe den Fintech-Unternehmen Vorteile im direkten Wettbewerb mit lange etablierten Banken, denen sie mit ihrer konsequenten Mobile-First-Strategie Kunden abwerben können.

Der Sicherheitsforscher sieht dahinter aber auch ein grundfalsches Verständnis von Sicherheit. „Die Fintechs spielen jedoch eine wichtige Rolle im voranschreitenden Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen“, erklärt er. Damit erfolge der nächste Schritt im Verfallsprozess der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begann. „Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.“

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim letztjährigen CCC-Kongress nahm er sich die damals jüngste Version der PushTAN-App der Sparkasse vor und zeigte auf, wie sie sich erneut aushebeln ließ. Dieses Verfahren kritisierte er als von Grund auf anfällig.

N26 hat inzwischen auch seine Kunden auf die Sicherheitsprobleme angesprochen, stellt diese jedoch als weit weniger dramatisch dar. In einem Blogeintrag ist von „eventuellen Sicherheitslücken“ die Rede, die inzwischen vollständig geschlossen seien. Bis heute seien keine Schadensfälle durch den „theoretischen Zugriff“ bekannt. „Als N26-Kunden müsst ihr nichts weiteres machen, als eure Apps up to date halten“, heißt es beruhigend. Immerhin hat das Start-up angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.