Smartphone-Bank: N26 reagiert auf Sicherheitslücken

Smartphone-Bank: N26 reagiert auf Sicherheitslücken

, aktualisiert 15. Dezember 2016, 10:52 Uhr
Bild vergrößern

Bankgeschäfte per Smartphone werden immer üblicher. Das Konto von N26 ist ein reines Smartphone-Konto - das bis vor kurzem Sicherheitslücken hatte.

von Elisabeth AtzlerQuelle:Handelsblatt Online

Ein IT-Wissenschaftler hat Sicherheitsprobleme der Smartphone-Bank N26 offengelegt. Kundendaten konnten manipuliert und ganze Konten übernommen werden. N26 bessert jetzt nach – und bedankt sich artig.

Frankfurt Die Smartphone-Bank N26 reagiert auf Sicherheitslücken, die der IT-Experte Vincent Haupert offengelegt hat. Man stehe in engem Austausch mit Haupert, der „uns auf mögliche Angriffspunkte bei N26 aufmerksam gemacht hat“, teilte N26 mit. „Wir sind allen bereits nachgegangen, haben eventuelle Sicherheitslücken vollständig geschlossen und diese Möglichkeit genutzt, unser System noch sicherer zu machen.“

Am Dienstag war bekannt geworden, dass Haupert, Mitarbeiter der Universität Erlangen-Nürnberg, erhebliche Sicherheitslücken bei N26 entdeckt hatte. Unabhängig vom Smartphone sei es gelungen, Kundendaten abzufangen, Transaktionen zu manipulieren und ganze Konten zu übernehmen, schreibt Haupert auf der Homepage der Technischen Fakultät der Universität.

Anzeige

Selbst Transaktionen konnten die Sicherheitsforscher in ihrem Versuch ausführen. Zunächst hatte das Branchenmagazin „Gründerszene“ darüber berichtet. Details will Haupert auf dem Kongress des Chaos Computer Club (CCC) Ende des Jahres vorstellen. Den Vortrag betitelt er „Shut Up and Take My Money! – The Red Pill of N26 Security“.

Schon vor einem Jahr hatte Haupert auf dem Kongress des CCC, dessen Experten als Instanz für Computersicherheit gelten, für Aufsehen gesorgt. Damals zeigte eine Sicherheitslücke der Smartphone-App der Sparkassen, über die er ebenfalls einige Woche vorher kurz informierte. Es ging es um einen Angriff auf Smartphones mit Android-Betriebssystem, auf denen sich die S-pushTAN-App manipuliert ließ, ohne dass der Kunde das bemerken würde.

Grob gesagt sicherten sich der Informatiker und ein Kollege bei dem Versuch die Administratorrechte an dem betreffenden Smartphone. Danach manipulierten sie die Auftragsdaten der Zahlung, bevor diese an den Server der Sparkasse gesendet wurden. Das Update der Sparkassen-App allerdings vereitelt diesen Angriff.

Dass es nun ausgerechnet bei N26 so große Sicherheitslücken gibt, gilt auch in der Szene als Überraschung. Eigentlich sind junge Finanz-Start-ups, auch „Fintechs“ genannt, für besonders clevere Anwendungen bekannt. Sie müssen sich zudem erst das Vertrauen ihrer Kunden erarbeiten, weshalb Sicherheitslücken als besonders großes Problem erscheinen.


N26 entschuldigt sich für langsamen Kundenservice

N26 hat einen Tag nach Bekanntwerden des Angriffs reagiert und die Sicherheitslücken geschlossen. Den Kunden sei durch die Demonstration kein Schaden entstanden. Das Berliner Fintech will Hauperts Wissen sogar für sich nutzen. „Wir konnten unsere IT-Sicherheit durch ihn noch einmal verstärken.“ Die Firma stehe nun in „engem Austausch“ mit Haupert. Auch der teilt mit: „Nach unserem besten Wissen wurden alle Schwachstellen, die wir an N26 gemeldet haben, behoben.“

In demselben Blogeintrag auf der Homepage bitte N26 die Kunden um Entschuldigung, die in den vergangenen Tagen auf Antworten des Kundenservices lange warten mussten. „Wir arbeiten hart daran, den Rückstand an offenen Fragen in den nächsten Wochen abzuarbeiten und bitten euch in der Zwischenzeit um etwas Geduld.“

N26 steckt gerade mitten in einem Umzug. Die Firma transferiert ihre inzwischen mehr als 200.000 Kunden auf eine eigene Plattform, da N26 seit kurzem eine eigene Banklizenz hat. Zwar sind fast alle Kunden umgezogen, die Umsetzung lief aber nicht ganz reibungslos, wie die vielen Fragen der Nutzer zeigten.

Das Start-up wird genau beäugt, weil es den Banken direkt Konkurrenz macht. Der Großteil der Fintechs geht derzeit eher den Weg, mit Banken zu kooperieren, statt sie direkt anzugreifen. Zudem wächst N26 rasch. Wie sehr sich die etablierten Geldhäuser mit dem Berliner Fintech beschäftigen, zeigt das Beispiel einiger großer Sparkassen: Sie wollen in Kürze eine eigene reine Smartphone-Bank, „Yomo“, starten.

In die Schlagzeilen war N26 im Sommer geraten, weil die Bank rund 500 Kunden das Konto gekündigt hatte, weil diese zu oft Geld abgehoben hatten. Die Barabhebungen kosten das Unternehmen, das keine eigenen Geldautomaten hat, selbst Gebühren. Kurz danach hatte die Smartphone-Bank Gebühren für häufiges Geld abheben eingeführt. Zudem kritisierten Verbraucherschützer die Konditionen für Kleinsparer bei einem Anlageprodukt von N26.

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%