Auf dem diese Woche in Hamburg stattfindenden 33. Chaos Communication Congress (33C3) hat der Sicherheitsforscher Vincent Haupert auf erhebliche Sicherheitsmängel bei Start-ups der FinTech-Szene hingewiesen. Exemplarisch zeigte er am Beispiel von N26, wie sich Schwachstellen mit potenziell gravierenden Folgen schon relativ einfach ausnutzen lassen. Haupert gelang es in seinem Vortrag unabhängig vom verwendeten Gerät, an Kundendaten zu kommen, Transaktionen unmittelbar zu manipulieren, Konten zu übernehmen und sogar willkürliche Transaktionen zu veranlassen wenn kein Guthaben vorhanden war.
Das europaweit tätige, in Berlin ansässige Start-up wurde am 25. September 2016 von Haupert über die Sicherheitslücken informiert und darauf hingewiesen, dass diese in einem Vortrag auf dem 33C3 vorgeführt würden. Grundsätzlich wirft Haupert Fintechs vor, dass sie sich in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war, zu sehr auf Design und Funktionen konzentrierten.
Das bringe ihnen zwar Vorteile im Wettbewerb mit etablierten Banken, zeuge aber von einem grundsätzlich falschen Verständnis von Sicherheit: Seiner Ansicht nach tragen Fintechs wesentlich zum Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen in der Finanzbranche bei. Ein Aspekt sei die Aufweichung der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begonnen habe. Haupert weiter: “Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.”
N26 hat seine Kunden inzwischen zwar auf die Sicherheitsprobleme hingewiesen, spielt sie jedoch herunter und spricht von “eventuellen Sicherheitslücken”. Die seien inzwischen vollständig geschlossen worden. Schadensfälle durch den “theoretischen Zugriff” seien keine bekannt. Es empfiehlt seinen Kunden, Apps aktuell zu halten und hat angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.
Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim CCC-Kongress 2015 zeigte er, wie sich die damals aktuellste Version der PushTAN-App der Sparkasse erneut aushebeln ließ. Er kritisierte dieses Verfahren als von Grund auf anfällig.
[mit Material von Bernd Kling, ZDNet.de]
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
