Forscher kritisiert mangelhafte Sicherheit bei FinTech-Start-ups

Auf dem diese Woche in Hamburg stattfindenden 33. Chaos Communication Congress (33C3) hat der Sicherheitsforscher Vincent Haupert auf erhebliche Sicherheitsmängel bei Start-ups der FinTech-Szene hingewiesen. Exemplarisch zeigte er am Beispiel von N26, wie sich Schwachstellen mit potenziell gravierenden Folgen schon relativ einfach ausnutzen lassen. Haupert gelang es in seinem Vortrag unabhängig vom verwendeten Gerät, an Kundendaten zu kommen, Transaktionen unmittelbar zu manipulieren, Konten zu übernehmen und sogar willkürliche Transaktionen zu veranlassen wenn kein Guthaben vorhanden war.

Das europaweit tätige, in Berlin ansässige Start-up wurde am 25. September 2016 von Haupert über die Sicherheitslücken informiert und darauf hingewiesen, dass diese in einem Vortrag auf dem 33C3 vorgeführt würden. Grundsätzlich wirft Haupert Fintechs vor, dass sie sich in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war, zu sehr auf Design und Funktionen konzentrierten.

Sicherheitsforscher werfen Fin-Tech-Start-ups wie N26 vor, sich zu sehr auf Design und Funktionen zu konzentrieren und dabei das bei Banken bewährte Prinzip “Security-by-Design” zu vernachlässigen (Screenshot: silicon.de)

Das bringe ihnen zwar Vorteile im Wettbewerb mit etablierten Banken, zeuge aber von einem grundsätzlich falschen Verständnis von Sicherheit: Seiner Ansicht nach tragen Fintechs wesentlich zum Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen in der Finanzbranche bei. Ein Aspekt sei die Aufweichung der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begonnen habe. Haupert weiter: “Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.”

N26 hat seine Kunden inzwischen zwar auf die Sicherheitsprobleme hingewiesen, spielt sie jedoch herunter und spricht von “eventuellen Sicherheitslücken”. Die seien inzwischen vollständig geschlossen worden. Schadensfälle durch den “theoretischen Zugriff” seien keine bekannt. Es empfiehlt seinen Kunden, Apps aktuell zu halten und hat angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim CCC-Kongress 2015 zeigte er, wie sich die damals aktuellste Version der PushTAN-App der Sparkasse erneut aushebeln ließ. Er kritisierte dieses Verfahren als von Grund auf anfällig.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

22 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago