Noch ein kurzer Blog-Beitrag zum Thema Sicherheit unser Daten. Im Datenaustausch mit einer Bank gehst Du davon aus, dass dies auf sicheren Wegen und transparent passiert. Eine iOS-App der Sparkassen scheint dies nicht zu kümmern. Hier ein paar Infos.
Anzeige
Von der Sparkassen-Finanzgruppe StarFinanz gibt es eine App für iOS mit dem Namen Sparkasse+, mit der man seine Bankgeschäfte erledigen kann.
Beschreibung aus dem iTunes-Store:
Mit Sparkasse+ haben Sie Ihre Finanzen mobil im Griff – egal, bei wie vielen Sparkassen und Banken Sie wie viele Konten haben.
Mit Sparkasse+ können Sie immer und überall bequem Ihre aktuellen Kontostände einsehen, Überweisungen abschicken und Geldeingänge prüfen. Oder Sie lassen sich von der App zum nächsten Geldautomaten oder zu Ihrer Sparkassenfiliale lotsen. Nehmen Sie direkt aus der App Kontakt mit Ihrer Sparkasse auf oder lassen Sie verloren gegangene Karten sperren.
FUNKTIONEN
- Multibankenfähig: Beliebig viele Konten bei nahezu allen Sparkassen und Banken
- Diverse Kontoarten: Giro, Festgeld, Tagesgeld, Spar, Darlehens, LBS-Bausparkonten
- Überweisungen, Daueraufträge, Lastschriften tätigen
- Anzeige von Depotbeständen und Kreditkartenumsätzen bei Sparkassen (keine DKB)
- Einrichtung von Bargeldkonten (Offlinekonten)
- Umsätze kategorisieren und grafisch auswerten
- Geldautomaten und Filialen Ihrer Sparkasse finden
- Börsennews, Kurse und Devisen (sofern von Ihrem Institut unterstützt)
- Service-Angebote Ihrer Sparkasse, wie Kartensperre, Mitteilungen, Öffnungszeiten, Terminvereinbarungen
Klingt komfortabel, hat aber Brisanz. Wenn mir jemand alle Konten verwalten will, werde ich schon stutzig – was geht die Sparkassen-App ein Konto bei einer anderen Bank an? Und falls da was mit verwaltet werden soll, müsste ich deutlich darauf hin gewiesen werden. Scheint nicht der Fall zu sein (ich nutze die App nicht).
Anzeige
Tüv-geprüfte Datenschleuder?
Losgetreten hat es dieser Blog-Beitrag, der vor einigen Tagen darauf hinwies, dass die iOS-App Sparkasse+ (Version 2.4.1) ungefragt sensitive Daten auf einen ungesicherten Server der StarFinanz überträgt. Laut obigem Blog-Beitrag überträgt die App:
- ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
- die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
Das zieht mir schon die Schuhe aus. Aber es wird noch brisanter, wie der Autor des obigen Blog-Beitrags ausführt. In der App-Beschreibung findet sich unter dem Punkt Sicherheit der Hinweis, dass die Kommunikation verschlüsselt mit dem Keditinstitut erfolgt und der TÜV die höchsten Sicherheitsstandards bestätigt. René Hesse hat es bei Mobiflip.de vor ein paar Tagen aufgegriffen. Scheinbar hat es bereits einen Tag nach Veröffentlichung des obigen Blog-Beitrags eine Antwort der StarFinanz gegeben, die der Blogger im securityhandle-Blog veröffentlicht hat. Positiv ist, dass die StarFinanz bzw. deren IT schnell reagiert hat. Die App wird in der nächsten Version überarbeitet. Und ein Geschmäckle bleibt in meinen Augen zurück, da so was erst auf Nachfassen Externer überhaupt aufgeklärt wird – obwohl es sich um sensible Bereiche handelt.
Anzeige
Ich benutzte öfter diese App weil ich Vertrauen zu der Bank und auch zur App hatte. Danke für diese Info, jetzt warte ich auf das Update. Ich empfinde es als Kundenverarschung da von Sicherheit zu reden und dann auch noch das Wort TÜV zu verwenden um Sicherheit und Qualität zu suggerieren. Die App Finanzblick verwende ich noch. Das ist auch so eine eierlegende Wollmichsau. Finanzblick verwaltet neben Konten auch Kreditkarten, PayPal-Konten, Paybackpunkte und viele andere Karten. Finanzblick ist außerdem als Windows App verfügbar.
ich benutze die App auch und bin sehr zufrieden.
Bedenklich finde ich jedoch, dass erst externe auf die Problematik hinweisen müssen.
Insbesondere die Begründung in Sachen TÜV und Zugriff kann ich nicht nachvollziehen, denn wie bereits Thomas Bauer feststellt, mit dem Siegel wird geworben obwohl anscheinend manche Bereiche nicht geprüft wurden – hier sollte beim TÜV nachgefasst werden bzw. über geprüft, was solche Siegel sodann Wert sind.
Selbst in der Testphase sollten alle betroffene Server auf dem aktuellsten Sicherheitsstand sein.
Auch der Zugriff "… die Kenntnis von Zugangscode für das Mobiltelefon, Kenntnis und Eingabe des Passwortes für die App und der Online-PIN des Kunden erforderlich …" dürfte gerade bei einem smartphone und dem dauerhaften Einsatz easy sein, denn ein Zugangscode ist im standby-Modus selten (nur beim 1.Start), Online-PIN kann ja in der app hinterlegt werden, lediglich das Passwort zur app wäre evtl. komplizierter.
Was man einräumen muss, dass der Zugriff per Benutzerkennung+PIN nicht viel Schaden ausführen kann, denn ohne entsprechende TAN (+Sicherheitsstufen) geht nichts – aber das steht hier ja nicht direkt zur Diskussion.
nur der Vollständigkeit:
App am 17.06.2014 aktualisiert – als Version: 2.4.2