Anzeige
SECURITY10. Januar 2017

Erst Sparkassen, jetzt N26: Mobile Banking muss sicherer werden – Interview mit Vincent Haupert

Vincent Haupert, Sicherheitsexperte der Uni Erlangen-NürnbergVincent Haupert

Diesem Mann sollten Banken zuhören: Vincent Haupert. Er ist der Sicherheitsexperte an der Uni Erlangen-Nürnberg – und er zeigt regelmäßig Schwachstellen in der Sicherheitsarchitektur bei Banken und Sparkassen auf. Zuletzt bei N26 (“N26 will gehackt werden” ). IT Finanzmagazin-Autor Rudolf Linsenbarth hat sich mit Vincent Haupert unterhalten – denn was der Sicherheitsexperte bei N26 gefunden hat, könnte auch andere treffen.

von Rudolf Linsenbarth

Herr Haupert, im Rahmen Ihrer Sicherheitsanalyse bei N26 haben Sie eine Fülle an Sicherheitslücken gefunden. Überrascht Sie, dass es sich hier um ein FinTech-Unternehmen handelt oder kann das bei einer „klassischen“ Bank auch vorkommen, wenn dort neue Technologien eingeführt werden?

Grundsätzlich ergeben sich bei der Softwareentwicklung für jeden Hersteller Herausforderungen hinsichtlich der IT-Sicherheit. Die Frage ist also eher, ob dieses Bewusstsein im Unternehmen vorhanden ist und wenn, wie damit umgegangen wird.

Wenn IT-Sicherheit von Grund auf bei Konzepten und in den Entwicklungsfortschritt einbezogen wird, lassen sich die meisten Sicherheitslücken – zumindest aber solche, wie sie bis vor kurzem in den Systemen von N26 existierten – verhindern.

Bei einigen Sicherheitslecks von N26 fragt man sich, wie so etwas die Prüfung der Bankenaufsicht passieren konnte. Die Banken stöhnen extrem unter der Berichtspflicht bei der BaFin. Wird da mehr Papier produziert, als wirklich geprüft?

Was die Aufsichtsbehörden in welchem Umfang prüfen, ist mir leider unbekannt. Insbesondere weiß ich nicht, welchen Stellenwert die IT-Sicherheit im Zulassungsverfahren und in den kontinuierlichen Prüfungen einnimmt. Nach den kürzlich in Erscheinung getretenen Sicherheitsmängeln bei N26 sollte aber in Betracht gezogen werden, der Informationssicherheit der technischen Infrastruktur eine größere Priorität beizumessen.

Das scheint gerade bei FinTechs angebracht, da diese besonders viele Prozesse digitalisieren und Schnittstellen zu Funktionen anbieten, die zuvor nicht vorhanden waren. Auf diese Entwicklung müssen auch die Aufsichtsbehörden entsprechend reagieren.

Wenn N26 alle von Ihnen gefundenen Sicherheitslecks gestopft hat, können die Kunden dann ein Sicherheitsniveau erwarten, dass den gängigen Mobile Banking Apps der anderen Banken entspricht?

Im Gespräch mit N26 habe ich mehrfach betont, dass ich zwar einige zum Teil kritische Sicherheitsmängel aufdecken konnte, meine Untersuchung aber keineswegs eine vollumfängliche Sicherheitsüberprüfung ersetzt. Das heißt im Umkehrschluss auch, dass nicht auszuschließen ist, dass noch weitere Sicherheitslücken in den Systemen von N26 klaffen. Darüber hinaus blieben die eigentlichen Android- bzw. iOS-Apps weitestgehend außen vor, weil der Fokus auf der geräteunabhängigen Serverkommunikation lag. Auf der anderen Seite möchte ich auch keine pauschalen Aussagen über die Sicherheit von konkurrierenden Mobile-Banking-Lösungen treffen.

Mein bisheriger Eindruck ist aber, dass bei den etablierten Banken deutlich größere Organisationseinheiten existieren, die sich um die IT-Sicherheit kümmern.”

N26 setzt auf eine Ein-App-Strategie, ist das ein Nachteil im Sicherheitskonzept gegenüber der Zwei-App-Strategie der meisten Banken, welche die TAN in einer separaten App übermitteln?

Das ist eine deutliche Einschränkung der konzeptionellen Sicherheit von digitalen Bankgeschäften, die längst nicht nur N26 hinzunehmen scheint.”

Alle Verfahren, die für die Transaktionsauslösung und -freigabe auf ein einziges Gerät setzen, sind der Gefahr ausgesetzt, dass ein Angreifer auf alle am Authentifizierungsprozess beteiligten Elemente zugreifen kann, wenn es ihm gelingt, das Gerät zu kompromittieren. Solche Schadsoftware, die sich maximale Kontrolle über das mobile Endgerät verschafft, existiert längst auch in der Praxis, hat Mobile-Banking-Apps aber noch nicht im Visier, da der Markt noch relativ überschaubar ist. Die Banken bewerben ihre mobilen Banking-Lösungen aber zum Teil durchaus intensiv, …

… weshalb mittelfristig eine kritische Menge erreicht sein dürfte, die den Markt auch für Kriminelle interessant macht.”

Darf man bei einem Push-TAN-Verfahren überhaupt von einer Zwei-Faktor-Authentifizierung sprechen, wenn es zusammen mit einer Mobile-Banking-App am Smartphone verwendet wird? Ist da eine wirkliche Unabhängigkeit von den Faktoren Wissen und Besitz gegeben, wenn das Smartphone gleichzeitig zum Eingabemedium für das Passwort wird?

Im Endeffekt nehmen sich Ein- und Zwei-App-Authentifizierungssysteme hinsichtlich ihrer konzeptionellen Sicherheitseigenschaften wenig, insofern sie auf ein und demselben Gerät betrieben werden. In beiden Fällen kann die Unabhängigkeit der Authentifizierungselemente nicht gewahrt werden, wenn das Gerät kompromittiert wird, weil dann automatisch beide Faktoren betroffen sind. Für den Fall, dass lediglich die App kompromittiert wird, genießt die Zwei-App-Lösung ein erhöhtes Sicherheitsniveau, da die Isolationsmechanismen der vorherrschenden mobilen Systeme einen Zugriff auf die andere App im Allgemeinen verhindern.

Die EU fordert in der PSD2 (Payment Service Directive) eine starke Authentifizierung. Besteht nicht die Gefahr, dass dies nur Placebo ist, wenn man ignoriert, dass die Faktoren nicht wirklich unabhängig voneinander sind?

Die Anforderungen an die starke Kundenauthentifizierung sind durch die EBA noch nicht final vorgelegt worden. Neben der Bedingung, dass mindestens zwei Faktoren aus den Bereichen Wissen, Besitz und Inhärenz verwendet werden müssen, verlangt PSD2 aber auch, dass die verwendeten Elemente voneinander unabhängig sind, so dass die Kompromittierung eines Authentifizierungselements nicht auch die Kompromittierung des anderen nach sich zieht.

Wir sind uns in der Forschungsgruppe darüber einig, dass Ein-Gerät-Authentifizierungslösungen diese Bedingung an die Unabhängigkeit grundsätzlich nicht leisten können.”

Der Entwurf der EBA bietet allerdings unzureichende Klarheit darüber, ob solche Authentifizierungssysteme den Anforderungen an starke Kundenauthentifizierung noch genügen, weshalb wir uns von der finalen Version konkrete Aussagen erhoffen.

Welche von den folgenden Zwei-Faktor-Verfahren bieten eine ausreichende Sicherheit für Mobile-Banking am Smartphone? mTAN, iTAN, pushTAN oder ist dort zwingend ein „second Device“ gefordert?

Bevor man ein Verfahren bezüglich seiner Sicherheitseigenschaften bewertet, muss zunächst der Begriff Mobile-Banking näher definiert werden, da unterschiedliche Bedeutungen geläufig sind. Wenn wir von Mobile-Banking sprechen, dann meinen wir damit im Allgemeinen Lösungen, die alle am Authentifizierungsprozess beteiligten Elemente auf ein und demselben Gerät implementieren. Solche Verfahren sind konzeptionell grundsätzlich angreifbar, was auch das pushTAN-Verfahren einschließt. In diesen Bereich fällt im weiteren Sinne auch das mTAN-Verfahren, da die SIM-Karte in der Regel im selben Gerät betrieben wird, wie auch die Banking-App. Das iTAN-Verfahren ist grundsätzlich als unsicher einzustufen, weil die TAN nicht dynamisch an den Auftrag gebunden ist. Letztendlich bleibt nur noch die Authentifizierung durch ein zweites, unabhängiges Gerät, wie es z. B. das chipTAN-Verfahren leistet.

Den Trend, die Sicherheit nur per Software realisieren zu wollen, gibt es nicht nur im Mobile Banking sondern auch im Mobile Payment. Mit HCE (Host Card Emulation) versuchen Banken und Mobile-Payment-Anbieter, die keine Kontrolle über die Smartphone-Hardware besitzen, ihre Produkte auf den Markt zu bringen. Werden wir dort auch gravierende Sicherheitslücken finden, oder ist das durch die Vielzahl der Unternehmen, die an der Entwicklung mitarbeiten, eher unwahrscheinlich?

Hier gibt es grundsätzlich wieder ähnliche Probleme wie bei App-basierten Authentifizierungsverfahren: wird das Gerät kompromittiert, können auch die hinterlegten Daten zugegriffen werden. In solchen Fällen könnte beispielsweise eine per HCE zur Verfügung gestellte Kreditkarte repliziert werden. Auch bezüglich der technischen Umsetzung sei vor allzu großer Zuversicht gewarnt.

Die großen Zahlungsdienstleister haben in der Vergangenheit ebenfalls gezeigt, dass sie nicht ohne Fehl sind.”

Das genaue Angriffspotenzial hängt aber natürlich immer von dem konkreten System und Anwendungsfall ab.

Zu guter Letzt würden wir von Ihnen wissen, ob Sie selber auch Mobile-Banking nutzen? Welchen Verfahren würden Sie gegebenenfalls vertrauen?

Mein Wunsch danach, Überweisungen immer und überall auszuführen, hält sich sehr in Grenzen, weshalb ich den aktuellen Trend nur begrenzt nachvollziehen kann. Ich passe grundsätzlich weniger in dieses Smartphone-basierte Überweisungsschema. Abgesehen von N26 — da geht es schließlich nicht anders — habe ich glaube ich noch nie in meinem Leben auch nur versucht, eine Überweisung mit meinem Smartphone anzustoßen. In dem gleichen Rucksack, in dem mein chipTAN-Leser ist, befindet sich in aller Regel auch mein Notebook. Das verwende ich dann zum Anstoßen der Überweisung. Das mache ich mit einer Finanzverwaltungssoftware, die den chipTAN-Leser auch über Bluetooth ansteuern kann. Überweisungen mit IBAN machen unabhängig vom eingesetzten TAN-Verfahren mit dem Smartphone allgemein eher weniger Freude.

Herr Haupert, vielen herzlichen Dank! Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert