Auf dem diese Woche in Hamburg stattfindenden 33. Chaos Communication Congress (33C3) hat der Sicherheitsforscher Vincent Haupert auf erhebliche Sicherheitsmängel bei Start-ups der FinTech-Szene hingewiesen. Exemplarisch zeigte er am Beispiel von N26, wie sich Schwachstellen mit potenziell gravierenden Folgen schon relativ einfach ausnutzen lassen. Haupert gelang es in seinem Vortrag unabhängig vom verwendeten Gerät, an Kundendaten zu kommen, Transaktionen unmittelbar zu manipulieren, Konten zu übernehmen und sogar willkürliche Transaktionen zu veranlassen wenn kein Guthaben vorhanden war.
Das europaweit tätige, in Berlin ansässige Start-up wurde am 25. September 2016 von Haupert über die Sicherheitslücken informiert und darauf hingewiesen, dass diese in einem Vortrag auf dem 33C3 vorgeführt würden. Grundsätzlich wirft Haupert Fintechs vor, dass sie sich in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war, zu sehr auf Design und Funktionen konzentrierten.
Das bringe ihnen zwar Vorteile im Wettbewerb mit etablierten Banken, zeuge aber von einem grundsätzlich falschen Verständnis von Sicherheit: Seiner Ansicht nach tragen Fintechs wesentlich zum Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen in der Finanzbranche bei. Ein Aspekt sei die Aufweichung der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begonnen habe. Haupert weiter: “Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.”
N26 hat seine Kunden inzwischen zwar auf die Sicherheitsprobleme hingewiesen, spielt sie jedoch herunter und spricht von “eventuellen Sicherheitslücken”. Die seien inzwischen vollständig geschlossen worden. Schadensfälle durch den “theoretischen Zugriff” seien keine bekannt. Es empfiehlt seinen Kunden, Apps aktuell zu halten und hat angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.
Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim CCC-Kongress 2015 zeigte er, wie sich die damals aktuellste Version der PushTAN-App der Sparkasse erneut aushebeln ließ. Er kritisierte dieses Verfahren als von Grund auf anfällig.
[mit Material von Bernd Kling, ZDNet.de]
Die Abwehrstrategie geht vom bisherigen Threat-Hunting hin in Richtung Risk-Hunting“, sagt Zero-Trust-Experte Christoph Schuhwerk…
ifo-Institut: Mehr als ein Viertel der Unternehmen geht davon aus, dass KI in den kommenden…
„KI ist mehr als nur ein persönlicher Produktivitäts-Booster“, sagt Veit Brücker von Asana im Interview.…
Adesso schließt CRM-Implementierung in SAP S/4HANA-Landschaft im Greenfield-Ansatz innerhalb eines halben Jahres ab.
Weltweit werden bis 2028 voraussichtlich mehr als zwei Drittel aller Kundendienst- und Supportinteraktionen mit Technologieanbietern…
