Berichte wie der des Bloggers Christian Hawkins sind schlimm für Fintech-Startups. Wollen die jungen Unternehmen doch gerade um das Vertrauen ihrer Kunden buhlen, um zu beweisen, dass bei ihnen Geld und Daten sicher sind.
Auf seinem Blog MetaBubble beschreibt Hawkins eine Sicherheitslücke bei seiner Kreditkarte vom Berliner Hype-Startup Number26. Auf dem goldenen Chip der Karte seien mehrere Daten unverschlüsselt zu finden, so Hawkins. Das fand er heraus, als er per NFC, einer Bezahltechnik für Smartphones, den Chip auslas. Andere Medien griffen die Geschichte auf. Der Titel des ursprünglichen Blogbeitrages trifft den Tenor: „Number26 weiß, was du letzten Sommer getan hast.“ Es passte ins Bild – das Fintech-Startup mit dem Datenleck.
Der Gründerszene-Test mit dieser Android-App zeigt: Es stimmt. Im Vergleich zu einer Kreditkarte der DKB speichert die Number26-Karte einige Transaktionen seines Kunden – per App leicht für jedermann zu ermitteln (siehe Screenshot unten). Dafür muss man das Smartphone mit der App dicht an die Karte halten. Es handelt sich bei den gespeicherten Daten um die geflossenen Geldsummen in einem bestimmten Zeitraum und das dazugehörige Datum. Die Währung wird ebenfalls angezeigt. Nicht zu sehen sind der Ort eines Einkaufs oder andere Details zur Transaktion. Hawkins schreibt in seinem Blog, er habe noch vier weitere Kreditkarten ausprobiert. Bei keiner anderen seien diese Details zu finden gewesen.
Nicht nur Number26 ist betroffen
Schon wenige Stunden nach den ersten Berichten stellte sich jedoch heraus: Das Problem hat nicht nur Number26. So ist die Fidor-Smartcard laut einem Test des Blogs MobiFlip ebenfalls betroffen. Die Fintech-Experten vom Ratpack haben bei einer Karte der niederländische ABN Ambro Bank, der italienischen Postepay und einer Miles-and-More-Karte der DKB die Sicherheitslücke entdeckt. Bei der Sparkassenkarte GiroGo sei es ebenfalls möglich, an die gespeicherten Daten zu gelangen, sagen die Experten.
Number26 äußerte sich zu dem Fall in einem Statement: „Es handelt sich um eine übliche Karteneinstellung bei NFC-fähigen Karten in Deutschland und Europa, die nicht auf Number26 beschränkt ist. Diese Karteneinstellung ist MasterCard-Standard und gang und gäbe bei vielen Banken in Europa.“ Die Fidor-Bank verweist auf Nachfrage auf die Stellungnahme.
„Von Standard kann nicht die Rede sein“
Die Experten vom Ratpack kommen jedoch zu einem anderen Schluss: „Von einem Standard kann nicht die Rede sein und es ist auch kein MasterCard-Thema. Standard würde bedeuten, alle Karten sind betroffen und der EMV-Standard wird nicht von MasterCard definiert, sondern von EMVCo.“ Der Grund für diese Sicherheitslücke liege an der Programmierung des Chips, heißt es von den Fintech-Experten weiter. Und dieser komme von dem Herausgeber der Karte – im Fall von Number26 der Wirecard-Bank – oder dem Unternehmen, das die Karte herstellt. Es sei gut möglich, dass die verschiedenen Banken beim selben Produzenten hätten fertigen lassen.
Festzuhalten ist: Zwar haben die Transaktionsdaten allein eine relativ geringe Aussage – trotzdem handelt es sich um persönliche Daten. Händler können durch die Sicherheitslücke die Zahlungshistorie ihrer Kunden ermitteln. Es lässt sich außerdem feststellen, ob jemand kürzlich ins Ausland reiste und dort (mit einer anderen Währung) bezahlte.
Besonders peinlich für das Berliner Startup Number26 ist aber: Dass die Verantwortlichen offenbar nichts von dem Problem wussten.
Im Gründerszene-Test: Links sind die Daten der Number26-Karte zu sehen – rechts die der DKB.