Auf der Suche nach der Lücke: Szene vom CCC-Treffen 2015 in Hamburg
Das Berliner Fintech N26 hat dieses Jahr endlich seine Banklizenz und 40 Millionen Dollar Funding in der Serie B bekommen.
Ansonsten war 2016 für das Bank-Startup allerdings ein ziemliches Katastrophenjahr: Nach der Entdeckung einer Sicherheitslücke in der N26-Kreditkarte folgten massenweise Kontokündigungen seitens der Bank (und daran anschließend massive Proteste der Kunden), der Abgang von Technik-Chef Christian Rebernik, schließlich eine Menge Probleme bei der Abnabelung vom bisherigen Bankpartner Wirecard und deswegen schon wieder ein Shitstorm.
Und das Jahr ist noch nicht zu Ende. Wie es aussieht, steht N26 ein besonders deftiger Skandal noch bevor. Der IT-Sicherheitsexperte Vincent Haupert von der Uni Erlangen-Nürnberg wird Ende des Monats auf dem jährlichen Hackerkongress des Chaos Computer Clubs (CCC) einen Vortrag halten, den er selbst „Shut Up and Take My Money! – The Red Pill of N26 Security“ genannt hat. Er wird darin zeigen: In der technischen Infrastruktur des Bank-Startups klaffen katastrophale Sicherheitslücken.
Zugriff auf Kundendaten, Transaktionen manipulierbar
Haupert ist es gelungen, über die N26-App Überweisungen zu manipulieren, ganze Accounts zu übernehmen, damit alle möglichen Transaktionen auszuführen – und das „unabhängig vom verwendeten Endgerät“. Er hatte Zugriff auf Kundendaten und war in der Lage, in Echtzeit Transaktionen zu manipulieren. Das seien „schwerwiegende Sicherheitslücken“, bilanziert Haupert in einer kurzen Ankündigung seines Vortrags.
Technische Details zu dem Hack will der Experte erst während seiner Präsentation verraten. Das Startup informierte er aber schon Ende September über seine Entdeckungen. Gegenüber Gründerszene bestätigt eine Sprecherin, Haupert habe das Unternehmen „auf mögliche Angriffspunkte bei N26 aufmerksam gemacht“.
Update, 14. Dezember, 15.15 Uhr: In einem Blogpost hat N26 erstmals technische Details zu dem erfolgreichen Hack veröffentlicht. Vincent Haupert verschaffte sich demnach über die öffentliche Programmierschnittstelle (API) Zugriff. Um deren Sicherheit zu verbessern, habe N26 inzwischen unter anderem die über die API verfügbaren Informationen deutlich reduziert sowie dort eine zusätzliche Sicherheitsebene eingezogen; Zeitbegrenzungen und -verzögerungen sollen automatisierte Zugriffe durch Bots verhindern. Außerdem will N26 beim Datenaustausch auf einen neuen Sicherheitsstandard setzen.
Update, 14. Dezember, 10.45 Uhr: In einer erneuten Stellungnahme betont N26, die von Haupert aufgedeckten Sicherheitslücken seien inzwischen geschlossen. Man sei dem IT-Sicherheitsexperten „dankbar, dass er uns auf diese möglichen Angriffspunkte aufmerksam gemacht hat“. Für das Startup habe „Sicherheit höchste Priorität“. Auch Haupert schreibt auf seiner Seite: „Meines Wissens nach sind alle von uns gemeldeten Sicherheitslücken geschlossen.“
Die erste Version des Artikels erschien am 13. Dezember um 15.52 Uhr.
Hat das Startup die Sicherheitslücken seither gestopft? Die Sprecherin sagt: „Diesen aufgezeigten Szenarien sind wir bereits nachgegangen. Wir haben mehrere Millionen Transaktionen durchgeführt, und es sind uns bis zum heutigen Zeitpunkt keine Schadensfälle bekannt, auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert.“
Weil laut N26 bislang keine Nutzer Schaden durch die entdeckten Sicherheitslücken genommen haben, habe auch keine Notwendigkeit bestanden, die Öffentlichkeit darüber zu informieren. „Unsere Kunden brauchen sich keine Sorgen zu machen“, betont die Sprecherin.
N26 will ein Bug-Bounty-Programm einrichten
Trotzdem hat das Startup erkannt, dass es mehr für seine IT-Sicherheit tun muss. In den nächsten Wochen will N26 deshalb ein sogenanntes Bug-Bounty-Programm einführen. Dabei werden Preise für das Auffinden von Schwachstellen im Code ausgelobt. Software-Schwergewichte wie Facebook, Microsoft oder Google betreiben ähnliche Programme.
Dass er eine schwerwiegende Sicherheitslücke gerade bei einem jungen Fintech – und nicht bei einer traditionellen Bank – entdeckte, überrascht den Informatiker Haupert nicht. Denn die neuen Angreifer in der Finanzbranche setzen voll auf Mobile, um sich mit schicken Apps von der altbackenen Usability des Online-Bankings abzusetzen. Dabei gerät das Thema Security offenbar aus dem Fokus. „In einem Geschäftsfeld, das einst ganz der Sicherheit verschrieben war, erklären Fintechs ein hippes Design und das Benutzererlebnis zur ausschließlichen Priorität“, schreibt Haupert. „Obwohl diese Strategie durch stark steigende Kundenzahlen belohnt wird, offenbart sie auch ein sowohl konzeptionell als auch technisch verqueres Verständnis von Security.“
Schon im vergangenen Jahr sorgte Haupert beim CCC-Treffen für Aufsehen, weil er zeigen konnte, wie die Online-Banking-App der Sparkasse zu knacken war und Überweisungen manipuliert werden konnten. Voraussetzung dafür war, dass Banking- und TAN-App auf dem gleichen Mobilgerät installiert waren.