Banking Apps…ups, wie konnte das denn passieren?

von

Ein Hack der Banking Apps zeigt, dass Aufrüstung nötig ist

Der größte anzumehmende Unfall bzw. Vorfall ist eingetreten. Wie die SZ gestern berichtete, sind mehr als 30 mobile Banking Apps, ganz bewusst gehackt worden. Fazit: Unsicher- und nicht nur Kontodaten konnten ausgelesen werden sondern in Einzelfällen waren sogar Transaktionen möglich. Ein digitales Aufrüsten ist nötig, bei den Banken selbst aber vor allem in der digitalen DNA und im Mind-Set.

Banking Apps - upps, wie konnte das denn passieren?
Photo by dreamsjung on VisualHunt / CC BY-SA

Wie ein Hack an den Grundpfeilern rüttelt

Möglich wurde das durch ein von den Banken eingesetztes Verfahren zum Schutz der Banking-Apps. Diese wurden um gegen Angriffe geschützt zu werden “gehärtet”. Dienstleister war bei allen Fällen die Firma Promon. Die Sicherheitslücke wurde entdeckt und demonstriert von den beiden Sicherheitsforschern Vincent Haupert und Nicolas Schneider. Vincent Haupert ist Experte auf dem Gebiet und legte vor einem Jahr auch bei N26 einige Sicherheitslücken offen. Der aktuelle Hack scheint nicht in der Öffentlichkeit angekommen zu sein und Endkunden sind nach ersten Stellungnahmen der Banken nicht betroffen. So schreibt z.B. Fidor an seine Kunden:

“Uns sind bis heute keine Schadensfälle im Zusammenhang mit diesem Artikel bekannt. Als Kunde der Fidor Bank AG braucht ihr euch um euer Konto keine Sorgen zu machen.”

oder der BVR “Bislang sind der Deutschen Kreditwirtschaft noch keine derartigen technischen Angriffe gegen Banking-Apps in der Praxis und daraus resultierende Schadensfälle bekannt.”

All das spielt aber am Ende des Tages keine Rolle, denn so oder so ist das Vertrauen in Banking Apps in den Grundpfeilern erschüttert und vor allem die etablierten Retailbanken dürften darunter am meisten leiden. Auch Banken dessen Lösung vom Hack nicht betroffen war. Der Nutzer weiß nur: Mobile Banking ist angreifbar bzw. das ist zumindest das, was hängen bleibt.

Banking Apps - upps, wie konnte das denn passieren?
Photo by Thomas Hawk on VisualHunt.com / CC BY-NC

Dabei handelt es sich um ein generelles Problem in der ganzen Digitialisierungsdiskussion: Es fehlt die digitale DNA. Man verlässt sich auf Agenturen und Marketingaussagen. Im aktuellen Fall sollte für die nötige Sichertheit das aus Norwegen stammende Unternehmen Promon sorgen. Ein Unternehmen das bereits 2015 sich den ‚Sparkassen SMS-Hack‘ gefallen lassen musste. Eigene Penetration-Tests mit Profis wie z.B. Vincent Haupert scheinen von den betroffenen Banken wohl nicht durchgeführt worden sein. Vertrauen ist gut, Kontrolle ist besser – nicht so bei Comdirect, Commerzbank und Co. Stattdessen gelang es Vincent Haupert und Nicholas Schneider das Promon App Shield, Stück für Stück zu zerlegen. Da scheint es mit der inzwischen propagierten digitalen Kompetenz bei Banken nicht so weit her zu sein.

Auch die Aussage des Bafin-Leiter für IT-Sicherheit, Jens Obermöller, „Es ist schwer für einzelne Banken, diese Expertise im eigenen Haus aufzubauen.” kann man nur mit Kopfschütteln betrachten.

Banking heißt Vertrauen, Vertrauen heißt Sicherheit, Sicherheit heißt Experten. Bei jeder Öffnung der Banken wird der heilige Sicherheits-Gral rausgeholt aber nicht bei Banking-Apps. Eine gefährliche Einstellung in einer Zeit wo Mobile und Online-Banking die digitale Kopie der Filiale sind.

Folgt man der Argumentation von Jens Obermöller soll man also allen Ernstes glauben, dass bei den knapp 5.000 Mitarbeitern der Finanzinformatik und den ca. 6.400 Mitarbeitern der Fiducia es nicht möglich ist so 4-5 Experten für den Bereich App-Sicherheit einzustellen? Insbesondere weil man wissen sollte, das in einer digitalisierten Welt die Banküberfälle nicht mehr nur in der Filiale stattfinden.

Banking Apps - upps, wie konnte das denn passieren?
Photo by sobczak.paul on Visual hunt / CC BY

Fazit

Der Angriff auf die Apps zeigt ein grundlegendes Problem. Eine fehlverstande Sicht auf die Digitalisierung, Die Auswirkungen des Hacks sind, auch wenn kein Kundenschaden entstanden ist, enorm. Gerade die Nutzer, die solchen Lösungen skeptisch gegenüber stehen werden sich bestätigt fühlen. Digital afine Nutzer werden das vielleicht zum Anlass nehmen sich anderweitig zu orientieren. Zu einer Bank, die aus digitalen Gesichtspunkten auf den ersten Blick sicherer erscheint. Diese Nutzer gehen ohnehin nicht in eine Filiale und dementsprechend besteht das Sicherheitsbedürfnis gerade bei den digitalen Angeboten. Am Ende profitieren gerade Challengerbanken wie N26 von solchen Aktionen, weil dort ein digitales Verständnis herrscht welches man bei vielen Retailbanken vergebens sucht.

Follow me

Maik Klotz

Senior Consultant bei KI finance
Maik Klotz ist Berater, Sprecher und Autor zu den Themen Banking, Payment und Retail. Seit vielen Jahren berät Maik Unternehmen zu kundenzentrierten Innovationsmethoden und der Fokussierung auf den Nutzer. Aktuell ist er als als Senior Consultant bei der KI finance GmbH aktiv.
Follow me

Letzte Artikel von Maik Klotz (Alle anzeigen)

3 Comments

  1. Das finde ich jetzt ein bisschen arg kurz aus dem Ärmel geschrieben. Natürlich hast du Recht, dass Banken IT-Sicherheitsexperten einstellen (hätten) müssen. Keine Frage.

    Aber hier geht es nicht um grundsätzliches Misstrauen gegenüber mobile Banking. Im SZ Artikel zielt Haupert ausschließlich auf das All-In-One Thema. Mobile ChipTAN oder *hust* iTAN wären hier kein Problem. Auch kommt der Hack erst durch einen Exploit in Android zustande. Ganz ehrlich.. Google hat da so ein paar IT-Sicherheitsexperten und die sind bestimmt nicht mal schlecht. Es wird einfach keine 100%ige Sicherheit geben. einer baut was, einer hackt was, einer repariert wieder usw. usf.

    Und der Kunde hat – genau wie der Hardwarelieferant – eben auch sein bestmöglichstes zu tun: Aktuelle Betriebssysteme, keine Software aus unbekannten Quellen installieren, keine Telephone rooten wenn man keine Ahnung hat…

    Es ist ein heiliger Dreiklang aus User, Software und Hardware und ein alt bekanntes Delta von Sicherheit und UX. Hier trägt keiner die Schuld allein und Banken Bashing bringt hier niemandem was.

  2. Moin,

    also was ich sicherlich nicht unterschreibe ist das die digitale DNA bei z.B. N26 großartig besser sein soll als bei den Banken. Dort findet man sicherlich genau so viele (Sicherheits-) Experten wie bei den Challengern, und mehr noch … jung und dynamisch bedeutet noch lange nicht auf Sicherheit ausgerichtet zu sein. Warum denn gerade N26 als positives Beispiel in diesem Zusammenhang gebracht wird ist mir schon gar nicht klar, hatten die nicht erst vor einem Jahr eine massive Sicherheitslücke (https://www.gruenderszene.de/allgemein/n26-ccc-vincent-haupert-kundenservice) und haben da wohl auch nicht Vincent Haupert angefragt ob er mal hackt. Mein Fazit ist hier eher, dass Sicherheit an sich doch viel Energie und Aufwand kostet und in einer Welt in der immer alles schneller in möglichst kurzen Iterationen an den Kunden geliefert werden soll, wohl etwas ins Hintertreffen gelangt.

Schreibe einen Kommentar

Your email address will not be published.

*