Bei Geldangelegenheiten geht man doch normalerweise auf Sicherheit. Banken sind abgesichert wie Fort Knox? Mitnichten, denn mir sind gerade zwei Dokumente in die Hände gefallen, die ein schlechtes Licht auf die Sicherheitslage im Finanzsektor werfen. Auch dabei, das FinTech Startup N26 bzw. deren Kunden als Opfer von Betrug.
Anzeige
Banken und andere Finanzinstitutionen leben von dem Ruf, aufgrund der sensiblen Finanzinformationen, die sie verarbeiten, über ausgereifte Sicherheitsmaßnahmen zu verfügen. Denn Finanzdaten sind ein hochattraktives Ziel für Cyber-Kriminelle.
67 Prozent aller Finanzanwendungen stellen ein Risiko dar
Allerdings zeigt der jüngste State of Software Security Report von Veracode, dass der Finanzsektor ebenso mit Sicherheit zu kämpfen hat, wie andere Branchen. Schlimmer noch, in mancher Hinsicht, tun sich Finanzinstitute deutlich schwerer in der Absicherung ihrer Anwendungen als andere Sektoren. Der Finanzsektor schneidet auf dem letzten Platz der 8 untersuchten Branchen ab, wenn es um die Geschwindigkeit geht, die es braucht, um Schwachstellen zu beheben.
- Mehr als 70.000 Anwendungs-Scans über einen Zeitraum von 12 Monaten brachten die Erkenntnis, dass es durchschnittlich 29 Tage dauert, um etwa ein Viertel aller Code-Schwachstellen zu bereinigen. Bis auch die letzte behoben ist, vergeht sogar mehr als ein Jahr, nämlich 574 Tage im Durchschnitt.
- Von allen Anwendungen, die von Banken in Gebrauch sind, stellen 67 Prozent ein Risiko dar, um sensible Informationen zu verlieren, wodurch sich externe Angreifer ausreichend Systemwissen aneignen können, um Zugriff auf das Netzwerk zu erhalten. Knapp dahinter landen mit 63 Prozent kryptographische Probleme und solche, die durch schlechte Code-Qualität hervorgerufen werden (51 Prozent).
„Finanzinstitutionen verfügen über hochsensible Informationen, daher sind sie ein hochattraktives Ziel für Cyber-Kriminelle," sagt Julian Totzek-Hallhuber, Solution Architekt bei Veracode. „Die gute Nachricht ist, dass der Finanzsektor nicht das Problem hat, Schwachstellen nicht zu erkennen. Das Problem ist vielmehr, dass sie aufgrund der großen Menge an Daten nicht in der Lage sind, ihre Schwachstellen richtig zu priorisieren und schnellstmöglich zu beheben. Daher müssen die betreffenden Unternehmen daran arbeiten, die Fix-Rate zu verkürzen. Wenn sie selbst in der Lage sind, Fehler zu bemerken, können Hacker das auch. Ein möglichst kurzes Fenster zwischen Finden und Beheben von Schwachstellen in Anwendungen muss daher oberste Priorität für Sicherheitsverantwortliche haben." Den vollständigen Report gibt es hier zum Download (erfordert Nutzerdaten).
(Quelle: Pexels / Pixabay CC0 Lizenz)
Anzeige
N26 bei Betrugsfällen überfordert
Und dann ist mir gerade dieser Heise-Artikel zum Banking-Startup N26 unter die Augen gekommen. N26 ist ein typischer Vertreter der FinTechs, die angetreten sind, den Bankensektor zu revolutionieren. Es braucht keine Menschen und keinen Overhead, eine App und ein paar Online-Supporter, schon betreiben wir Bankgeschäfte – so die Idee.
Mir war N26 eigentlich nur ein Begriff als Sicherheitsrisiko, denn deren Bankgeschäfte werden per N26-App abgewickelt. Der Ideengeber hinter N26 und der App ist der gleiche Kopf, der später auch die Vivy-Gesundheits-App zu verantworten hatte (siehe auch die Artikel am Beitragsende). Ende 2016 konnte ein Sicherheitsforscher zeigen, wie man auf dem Smartphone ein N26-Konto übernehmen kann. Seitdem ging bei der Kombination N26 und Banking-App immer eine rote Sicherheitslampe im Hinterkopf an.
Der Heise-Beitrag befasst sich nun mit dem Problem, das Kunden des FinTech-Unternehmens N26 Opfer von Betrug werden (weil die Daten von der App abgefischt werden) und dann auch noch ziemlich im Regen stehen bleiben. Es gibt nämlich keinen Telefonsupport, nur Chat in der App. Wenn man sich per App aber nicht mehr anmelden kann, ist Schluss mit lustig. Ein von Gründerszene aufgegriffener Fall wird diskutiert, wo jemand um 80.000 Euro erleichtert wurde. Und der Support der Bank N26 war nicht erreichbar. Hat dem Online-Unternehmen fast das Genick gebrochen. Scheint wohl kein Einzelfall zu sein.
Der Heise-Artikel ist durchaus lesenswert, zeigt er doch, wie vermeintlicher Komfort und Schnelligkeit zu Lasten der Sicherheit geht. Es trifft dann die Leute, die naiv genug sind, und meinen, mit einem Smartphone und einer App ihre Bankgeschäfte erledigen zu können. Geht solange gut, bis etwas passiert – dann gibt es lange Gesichter.
Ähnliche Artikel:
Nächstes Sicherheitsdesaster bei Vivy-Gesundheits-App
Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy
Online-Banking und Sicherheit
Vorsicht vor App-TANs beim Online-Banking
Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche
Phishing- und Banking-Trojaner bedroht Bankkunden
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Tesco-Banking-Hack durch Visa-Karten-Schwachstelle?
RCE-Schwachstelle in ELBA5 Electronic Banking
Trojaner Catelites Bot bedroht Online-Banking-Nutzer
Android-Banking-Trojaner zielt auf deutsche Kunden
China-Phones mit eingebautem Banking-Trojaner
Anzeige
"Es trifft dann die Leute, die naiv genug sind, und meinen, mit einem Smartphone und einer App ihre Bankgeschäfte erledigen zu können. Geht solange gut, bis etwas passiert – dann gibt es lange Gesichter."
DAS IST UNFAIR.
Zur Zeit ZWINGT z.B. die comdirect die Kunden, auf photoTAN – natürlich mit Smartphone – umzustellen.
Das bessere Verfahren ChipTAN wird NICHT angeboten. Dabei ist so ein kleines ChipTAN-Gerät kaum zu hacken – im Gegensatz zu einem Smartphone.
Wieso ist das unfair? Es zwingt mich niemand, Kunde der ComDirect zu werden. Ich kann alles machen, muss mir aber über die Risiken klar sein. Daher mache ich keine Bankgeschäfte auf einem unsicheren Android-Gerät, sondern verwende ChipTAN (obwohl die Banken das abschaffen wollen und eher auf eine Authentifizierung per Smartphone gehen möchten).
Wenn eine Bank mit dazu zwingen will, kann ich mir immer noch überlegen, ob diese Bank mein Partner werden soll. Bei photoTAN oder QR-TAN als Zweifaktor-Authentifizierung muss man auf die Details schauen. Ein guter Überblick findet sich hier. Mit einem separaten Leser ohne Netzzugang für die photoTAN könne ich mir das Verfahren vorstellen (ist ja nichts anderes als ein Flicker-Code).
Ich sag doch, dass die auf PhotoTAN umstellen wollen und KEIN ChipTAN anbieten.
Danke für den Überblick! :-)
Da bleibe ich lieber bei meiner lokalen Sparkasse. Onlinebanking mache ich seit 2002 mit Starmoney + HBCI Karte + reinerSCT Kartenleser. Für mein Privatkonto zahle ich im Monat 4 € GG, sowie 1x im Jahr 6 € für die Giro, 30 € Mastercard Standard und 3 € für die HBCI Karte.
Da kommt im Jahr ein ganz ordentlicher Betrag zusammen. Aber immer noch besser, als wie wenn ich auf einmal kein Geld mehr auf dem Konto habe und im Zweifelsfall den Service per Telefon, oder persönlich (Filiale) erreichen kann.
Über das Smartphone mache ich grundsätzlich nichts, was mit Geld zu tun hat, das ist mir zu riskant.
Vom Desktop Rechner zu Hause ist das eine völlig andere Sache, da habe ich wesentlich mehr Möglichkeiten, Risiken zu vermeiden.
Und wer seine Geldangelegenheiten einem Startup wie N26 anvertraut, muss sich schon die Frage gefallen lassen, ob er sich das gut überlegt hat.
Ich verstehe den Leichtsinn der Leute nicht.