Banking per Smartphone Forscher warnte deutsches Start-up N26 vor Sicherheitslücken

Das Finanz-Start-up N26 setzt aufs Banking per Smartphone und will so traditionellen Banken Kunden abjagen. Ein Forscher hat allerdings ernste Schwachstellen im Sicherheitssystem von N26 entdeckt.

Dienst N26

Dienst N26


"Unser Sicherheitsalgorithmus überwacht Autorisierungsanfragen und erkennt Unregelmäßigkeiten sofort. Phishing-Versuche können somit identifiziert und gestoppt werden." Mit Sätzen wie diesen wirbt der Anbieter N26 (früher Number 26) dafür, bei ihm ein Konto zu eröffnen. Das Finanz-Start-Up mit Banklizenz verspricht "smartes Banking": Man soll seine Finanzen bequem und allein mit dem Smartphone managen können.

Auch als N26-Kontoinhaber sollte man aber nicht davon ausgehen, dass es keine Möglichkeiten gab oder gibt, als Kunde von Kriminellen ausgetrickst zu werden. Die Sicherheitsverfahren von Banken und Finanzdienstleistern werden immer wieder geknackt, wie zum Beispiel der Sicherheitsforscher Vincent Haupert von der Universität Erlangen-Nürnberg schon mehrfach nachgewiesen hat.

Im Sommer hat Haupert nun auch bei N26 mehrere Sicherheitslücken entdeckt. Zusammen mit seinem Kollegen Tilo Müller ist es ihm etwa gelungen, unter bestimmten Voraussetzungen Daten in Echtzeit zu verändern, wie Sueddeutsche.de berichtet.

Eine Manipulation, von der der Nutzer nichts erfährt

Im Gespräch mit SPIEGEL ONLINE erzählt Haupert unter anderem, dass er ein N26-Konto auf verschiedene Arten mit einem neuen Smartphone verbinden konnte - teils sogar, ohne dass der betroffene Nutzer davon etwas mitbekommt. Bemerkenswert ist das auch, weil genau dieser Vorgang bei N26 mit vier einzelnen Schritten theoretisch recht aufwändig abgesichert wird. Offenbar fanden sich jedoch Fehler im Sicherheitssystem.

"Zuerst war ich noch pessimistisch, ob es mir gelingt, ein Konto einem fremden Handy zuzuordnen, wenn ich erst einmal nur die App-Zugangsdaten eines N26-Kunden kenne", sagt Haupert, der am 27. Dezember auf der Jahreskonferenz des Chaos Computer Clubs (CCC), dem 33C3, mehr Details zu seinem Vorgehen bekannt machen will. "Es fand sich aber bei jedem der Schritte ein Weg, das Verfahren auszutricksen. Es war gut gedacht, aber mangelhaft umgesetzt."

Haupert hat seine Erkenntnisse bereits vor gut drei Monaten an N26 weitergegeben. Er sagt, dass Unternehmen habe sehr professionell mit ihm zusammengearbeitet.

Keine Schadensfälle bekannt

N26 selbst betont, dass alle gemeldeten Sicherheitslücken bereits vollständig geschlossen wurden, dass keine Kundendaten kompromittiert wurden und dass keinem Kunden ein Schaden entstanden ist. In einem Blogpost spricht das Unternehmen von einem "theoretischen Zugriff": "Als N26-Kunden müsst ihr nichts Weiteres machen, als eure Apps up-to-date halten."

In der Stellungnahme für SPIEGEL ONLINE heißt es, Vincent Haupert habe die Angriffe mit eingeweihten Kollegen durchgeführt und weder beliebig Konten übernommen noch beliebig Transaktionen Dritter verändert: "Die aufgezeigten Szenarien waren zum größten Teil nicht skalierbar und wären uns sofort aufgefallen." Man habe bei N26 bereits mehrere Millionen Transaktionen durchgeführt und dem Unternehmen seien bis heute keine Betrugsfälle bekannt.

mbö



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
fusselsieb 15.12.2016
1. Keine Medientrennung
PIN, Paßwort und "TAN" sind auf einem Gerät. Da braucht man nicht lange zu forschen. Das ist immer unsicher. Sicherheit gewinnt man nur durch die Medientrennung der Sicherheitsverfahren.
JekDW 15.12.2016
2. Ein Schelm...
...wer Böses dabei denkt. Hat man solche Versuche mal bei etablierten Banken gemacht? Ich behaupte einfach mal, die Sicherheitslücken bestehen nicht exklusiv bei N26.
joking_hazard 15.12.2016
3. Das ganze Internet ist eine Sicherheitslücke
Nur ein paar Technikverblendete wollen das nicht kapieren. 'Sicher' ist nur, wer bei sowas nicht mitmacht. Relativ zumindest.
sven2016 15.12.2016
4.
Es ist immer wieder interessant zu sehen wie immer mal wieder neue "total sichere" System in den Markt gepusht werden. Ich vermag es nicht, daran zu glauben.
MerlinXX 15.12.2016
5. Seh ich anders
"Nur ein paar Technikverblendete wollen das nicht kapieren. 'Sicher' ist nur, wer bei sowas nicht mitmacht. Relativ zumindest." Nein. Die Banken sind alle im Internet, ob Sie das nun mitmachen oder nicht. Wenn Sie nicht Silber im Garten vergraben wollen machen Sie es sich nur unnötig schwer, wenn Sie auf Onlinebanking verzichten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.