Forscher kritisiert mangelhafte Sicherheit bei FinTech-Start-ups

Auf dem diese Woche in Hamburg stattfindenden 33. Chaos Communication Congress (33C3) hat der Sicherheitsforscher Vincent Haupert auf erhebliche Sicherheitsmängel bei Start-ups der FinTech-Szene hingewiesen. Exemplarisch zeigte er am Beispiel von N26, wie sich Schwachstellen mit potenziell gravierenden Folgen schon relativ einfach ausnutzen lassen. Haupert gelang es in seinem Vortrag unabhängig vom verwendeten Gerät, an Kundendaten zu kommen, Transaktionen unmittelbar zu manipulieren, Konten zu übernehmen und sogar willkürliche Transaktionen zu veranlassen wenn kein Guthaben vorhanden war.

Das europaweit tätige, in Berlin ansässige Start-up wurde am 25. September 2016 von Haupert über die Sicherheitslücken informiert und darauf hingewiesen, dass diese in einem Vortrag auf dem 33C3 vorgeführt würden. Grundsätzlich wirft Haupert Fintechs vor, dass sie sich in einem Geschäftsfeld, das zuvor in erster Linie der Sicherheit verpflichtet war, zu sehr auf Design und Funktionen konzentrierten.

Sicherheitsforscher werfen Fin-Tech-Start-ups wie N26 vor, sich zu sehr auf Design und Funktionen zu konzentrieren und dabei das bei Banken bewährte Prinzip “Security-by-Design” zu vernachlässigen (Screenshot: silicon.de)

Das bringe ihnen zwar Vorteile im Wettbewerb mit etablierten Banken, zeuge aber von einem grundsätzlich falschen Verständnis von Sicherheit: Seiner Ansicht nach tragen Fintechs wesentlich zum Niedergang wichtiger konzeptioneller Sicherheitsmaßnahmen in der Finanzbranche bei. Ein Aspekt sei die Aufweichung der Zwei-Faktor-Authentifizierung, die mit der Einführung App-basierter Legitimationsmethoden begonnen habe. Haupert weiter: “Fintechs beweisen außerdem begrenzte Einsicht in konzeptionelle und technische Sicherheit.”

N26 hat seine Kunden inzwischen zwar auf die Sicherheitsprobleme hingewiesen, spielt sie jedoch herunter und spricht von “eventuellen Sicherheitslücken”. Die seien inzwischen vollständig geschlossen worden. Schadensfälle durch den “theoretischen Zugriff” seien keine bekannt. Es empfiehlt seinen Kunden, Apps aktuell zu halten und hat angekündigt, ein Prämienprogramm für entdeckte Sicherheitslücken aufzulegen.

Haupert beschäftigt sich schon länger mit der Sicherheitspraxis von Finanzdienstleistern. Beim CCC-Kongress 2015 zeigte er, wie sich die damals aktuellste Version der PushTAN-App der Sparkasse erneut aushebeln ließ. Er kritisierte dieses Verfahren als von Grund auf anfällig.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago