Banking per Smartphone Forscher warnte deutsches Start-up N26 vor Sicherheitslücken

Das Finanz-Start-up N26 setzt aufs Banking per Smartphone und will so traditionellen Banken Kunden abjagen. Ein Forscher hat allerdings ernste Schwachstellen im Sicherheitssystem von N26 entdeckt.
Dienst N26

Dienst N26

"Unser Sicherheitsalgorithmus überwacht Autorisierungsanfragen und erkennt Unregelmäßigkeiten sofort. Phishing-Versuche können somit identifiziert und gestoppt werden." Mit Sätzen wie diesen  wirbt der Anbieter N26 (früher Number 26) dafür, bei ihm ein Konto zu eröffnen. Das Finanz-Start-Up mit Banklizenz verspricht "smartes Banking": Man soll seine Finanzen bequem und allein mit dem Smartphone managen können.

Auch als N26-Kontoinhaber sollte man aber nicht davon ausgehen, dass es keine Möglichkeiten gab oder gibt, als Kunde von Kriminellen ausgetrickst zu werden. Die Sicherheitsverfahren von Banken und Finanzdienstleistern werden immer wieder geknackt, wie zum Beispiel der Sicherheitsforscher Vincent Haupert von der Universität Erlangen-Nürnberg schon mehrfach nachgewiesen hat.

Im Sommer hat Haupert nun auch bei N26 mehrere Sicherheitslücken entdeckt. Zusammen mit seinem Kollegen Tilo Müller ist es ihm etwa gelungen, unter bestimmten Voraussetzungen Daten in Echtzeit zu verändern, wie Sueddeutsche.de berichtet .

Eine Manipulation, von der der Nutzer nichts erfährt

Im Gespräch mit SPIEGEL ONLINE erzählt Haupert unter anderem, dass er ein N26-Konto auf verschiedene Arten mit einem neuen Smartphone verbinden konnte - teils sogar, ohne dass der betroffene Nutzer davon etwas mitbekommt. Bemerkenswert ist das auch, weil genau dieser Vorgang bei N26 mit vier einzelnen Schritten theoretisch recht aufwändig abgesichert wird. Offenbar fanden sich jedoch Fehler im Sicherheitssystem.

"Zuerst war ich noch pessimistisch, ob es mir gelingt, ein Konto einem fremden Handy zuzuordnen, wenn ich erst einmal nur die App-Zugangsdaten eines N26-Kunden kenne", sagt Haupert, der am 27. Dezember auf der Jahreskonferenz des Chaos Computer Clubs (CCC), dem 33C3, mehr Details zu seinem Vorgehen bekannt machen will . "Es fand sich aber bei jedem der Schritte ein Weg, das Verfahren auszutricksen. Es war gut gedacht, aber mangelhaft umgesetzt."

Haupert hat seine Erkenntnisse bereits vor gut drei Monaten an N26 weitergegeben. Er sagt, dass Unternehmen habe sehr professionell mit ihm zusammengearbeitet.

Keine Schadensfälle bekannt

N26 selbst betont, dass alle gemeldeten Sicherheitslücken bereits vollständig geschlossen wurden, dass keine Kundendaten kompromittiert wurden und dass keinem Kunden ein Schaden entstanden ist. In einem Blogpost  spricht das Unternehmen von einem "theoretischen Zugriff": "Als N26-Kunden müsst ihr nichts Weiteres machen, als eure Apps up-to-date halten."

In der Stellungnahme für SPIEGEL ONLINE heißt es, Vincent Haupert habe die Angriffe mit eingeweihten Kollegen durchgeführt und weder beliebig Konten übernommen noch beliebig Transaktionen Dritter verändert: "Die aufgezeigten Szenarien waren zum größten Teil nicht skalierbar und wären uns sofort aufgefallen." Man habe bei N26 bereits mehrere Millionen Transaktionen durchgeführt und dem Unternehmen seien bis heute keine Betrugsfälle bekannt.

mbö

Mehr lesen über

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.