Skip to main content
Ein paar hundert Euro - frei aus morgueFile Ein paar hundert Euro - frei aus morgueFile

N26: Die Sicherheit der Banking App ist kaputt

Online Banking mit dem Smartphone: eine ganz dolle Sache. Aber die App von N26 ist wohl kaputt. Also deren Sicherheit. Das behaupten derzeit Experten. Da werden Warnungen ausgegeben, in denen die Worte „Sicherheitslücken“ und „massiv“ vorkommen. Und nun hyperventiliert das Internet. Schauen wir mal, was an den Warnungen ist. Ist es gerechtfertigt, dass einem der kalte Angstschweiß auf die Stirn tritt?

N26 ist ein so genanntes Fintech, also ein Technologie-Unternehmen der Finanzbranche. Und das steht immer mal im Gerede. Das ging so weit, dass man sich irgendwann von „Number 26“ in „N26“ umbenannte. Das Unternehmen hat in Deutschland eine vollwertige Banklizenz. Aber erst gab es Anfang des Jahres Ärger mit der Kreditkarte, nun mit der App. Und nun ist alles ganz schlimm, wie mir scheint.

Angeblich soll es gelungen sein, über die App Kundendaten einzusehen, Überweisungen in Echtzeit zu manipulieren und sogar Bankkonten komplett zu übernehmen. Und das Alles wäre wohl völlig unabhängig vom verwendeten Endgerät möglich gewesen. Und alle Einzelheiten will der Experte, Vincent Haupert von der Uni Erlangen-Nürnberg, Ende Dezember auf dem Congress des Chaos Computer Clubs bekannt geben.

Halt, Mooooooment, da lese ich mal gar nicht weiter. Ich bilde jetzt mal aus meinen beiden Händen ein „T“. Das steht für „Timeout“. Und jetzt denken wir mal ganz scharf nach. Wo haben wir das schon mal gehört?

Klar, beim PushTAN-Verfahren der Sparkassen soll es auch möglich gewesen sein, ganz doll schlimme Dinge zu machen. Die Sparkassen gehen ja so sorglos mit den Kundenkonten um. Und all das wurde behauptet. Ein längeres Gezeter fand da auf dem vergangenen Congress statt. Und dann kam heraus: PushTAN ist alles andere als unsicher. Es wird nur unsicher, wenn das Betriebssystem ausgehebelt wurde (Bei Android „gerootet“, bei iOS „gejailbreaked“). Und selbst dann musste man irgendwelche Kopfstände machen, 5 mal in die Hände klatschen und „3 mal Schwarzer Kater“ rufen.

Nein, so genau war es natürlich nicht. Aber Fakt ist: PushTAN war zu dem Zeitpunkt des „Tests“ nur unsicher, wenn das System ausgehebelt wurde und irgendwelche kruden Tastenkombinationen vollführt wurden, auf die ein Nutzer sonst nicht kommt. Aber wer sein System aushebelt, darf sich nicht wundern, wenn noch weitere sicherheitskritische Probleme auftreten.

Nun zurück zu N26. Denen sind keine Schadensfälle bekannt. Und weil das so ist, hat man darauf verzichtet, die Kunden zu informieren. Dem Unternehmen ist auch nicht bekannt, was der Sicherheitsexperte da herausgefunden haben will. Und das wirkt doch alles irgendwie so wie die PushTAN-Anekdote. Mich würde nicht wundern, wenn ein Problem nur dann auftritt, wenn Sonne und Mond in einem bestimmten Winkel zueinander stehen und der Wind aus Richtung Süden weht.

Spaß beiseite. Ich kann jeden verstehen, der sich mehr Zugriffe auf seinem mobilen System verschaffen will. Aber dann läuft man immer Gefahr, irgendwelche weiteren Probleme auf seinem Smartphone zu haben. Und oftmals kommen Störungen oder Probleme in Apps nur ans Tageslicht, weil jemand lang genug probiert hat. Sicher bessern da die Hersteller dann umgehend nach. Das ist auch gut so. Aber flügelschlagend zu hyperventilieren, ist dann doch etwas übertrieben.

Verteilen Sie diese Erkenntnis doch einfach wie 3 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.