Am 20. September verschickt Vincent Haupert eine E-Mail, in der er vor "vier Angriffen" warnt. Haupert arbeitet als IT-Sicherheitsforscher, er hat sich auf Banking-Apps für Smartphones spezialisiert. Wenn er solche Mails verschickt, geht es meist um Geld. Wenn er von Angriffen spricht, heißt das: Er kann nach Lust und Laune auf fremde Konten zugreifen. Das Geld ist nicht sicher. Haupert hat Sicherheitslücken bei der Deutschen Bank und der Norisbank aufgedeckt. Dieses Mal geht es um das Start-up N 26.
N 26 ist nicht irgendein Start-up aus dem Finanzbereich, sondern eines von Deutschlands bekanntesten. Im Gegensatz zu den meisten Wettbewerbern hat das junge Unternehmen eine vollwertige Banklizenz. Deswegen können die Berliner ihren Kunden eigene Girokonten und Kreditkarten anbieten. Aktuell hat das 2013 gegründete Unternehmen 200 000 Kunden und bietet seine Dienste in 17 Ländern an. Und auch die Investoren sind prominent: unter anderem hat Silicon-Valley-Star und Paypal-Gründer Peter Thiel Geld in N 26 gesteckt.
Die E-Mail schickte Haupert an den Chaos-Computer-Club (CCC), die bundesweit bekannteste Organisation, die sich um IT-Sicherheit kümmert. Der CCC stellte den Kontakt zu N 26 her. Zu dieser Zeit, Ende September, sagte Haupert im Gespräch mit der Süddeutschen Zeitung, dass er erst Details nennen werde, wenn die Probleme beseitigt sind. Die Sicherheit der Kunden gehe vor. Drei Monate hatte die Firma Zeit. Inzwischen sind die Sicherheitslücken behoben.
Hohes Maß an Sicherheit, auseinandergenommen
Auf der Website verspricht N 26 Kunden ein hohes Maß an Sicherheit. Anfang Dezember luden sie Haupert ein und hörten ihm zu, wie er dieses Versprechen auseinandernahm.
Die gefundenen Schwachstellen sind tiefgreifend. Sie lassen sich leicht umsetzen und geben Angreifern unbeschränkten Zugriff auf ein N-26-Bankkonto. Haupert und seine Kollegen an der Universität Erlangen-Nürnberg konnten Daten in Echtzeit manipulieren. "Der Nutzer tippt in sein Smartphone, dass er zwei Euro auf das Konto eines Freundes überweisen will. Tatsächlich wandern aber 20 Euro auf das Konto des Angreifers." Der Betrag ist frei wählbar; so viel das Konto hergibt. Der Kunde bekommt nichts mit. Erst, wenn er sich über ein anderes Gerät einloggt, per Desktop oder Tablet, fällt die Manipulation auf.
"Die Schwachstelle ist leicht auszunutzen", sagt Haupert. Einzige Voraussetzung sei, dass der Angreifer sich im gleichen Wlan befinde wie der N-26-Kunde und dieser eine Datei installiere. Haupert demonstrierte bereits mehrere solcher Angriffe. Betroffen waren Apps der Deutschen Bank, Norisbank und Commerzbank. Im Fall von N 26 war der Angriff besonders leicht umzusetzen.
"Ich öffne einen Wlan-Hotspot, mit der sich die Person verbindet. Bevor sie eine Website ansurfen kann, muss die Person eine Datei installieren." Ab diesem Moment konnte Haupert den Internet-Verkehr live auslesen und ändern. Das ist einfacher, als Nutzer dazu zu bringen, eine weitere App zu installieren, mit der man erst in einem nächsten Schritt Beträge manipulieren kann.
Moderne Banking-Apps bieten Kunden an, Überweisungen auf dem Smartphone durchzuführen. Sie müssen sich keine Transaktionsnummer, Tan genannt, auf ein zweites Gerät schicken lassen und dort eingeben. Doch dadurch entfällt der Schutz.
Die Sicherheit bei Handy-Überweisungen wird immer wichtiger. Denn immer mehr Menschen erledigen ihre Bankgeschäfte über das Smartphone, gehen nur noch selten in die Filialen. Auch traditionelle Banken bauen daher Geschäftsstellen ab und investieren in Online-Angebote. Zugleich drängen Gründer auf den Markt. Diese Entwicklung führt zu der Frage: Wenn sich der Wettbewerb im Bankgeschäft vor allem an der Software entscheidet, braucht es dann überhaupt noch Filialen?
Viele der Fintechs sind in den vergangenen Jahren rasant gewachsen. Im Fokus steht eine einfache, komfortable Bedienung. Da sind sie den Banken oft weit voraus. In acht Minuten könne man bei ihnen ein Konto eröffnen, verspricht beispielsweise die N-26-Werbung. Da würde man bei der Sparkasse womöglich noch in der Schlage vor dem Schalter warten. Die Sicherheit ihrer Datensysteme war den Start-ups dabei weniger wichtig, sagen Kritiker wie Vincent Haupert.
"Bei jedem Schritt einen Fehler gemacht"
Für einen weiteren Angriff muss Haupert die Kombination aus Nutzername und Passwort kennen. "Dafür gibt es viele Möglichkeiten." Studien zeigen: Knapp 45 Prozent aller Nutzer verraten ihr Passwort, wenn sich Hacker besonders viel Mühe geben.
Bei N 26 können Überweisungen nur von einem Smartphone aus genehmigt werden. Das berechtigte Smartphone ist mit dem Konto verknüpft. Mit Name und Passwort ausgestattet kann Haupert ein neues Handy anmelden. Diese Anmeldung sichert N 26 eigentlich mehrfach ab. "Aber sie haben bei jedem Schritt einen Fehler gemacht." Ein fünfstelliger Code wird zum Beispiel per SMS verschickt - kann jedoch vom Angreifer durch Ausprobieren in einigen Minuten erraten werden. Das Smartphone von Haupert ist zugelassen - und kann Aufträge verteilen.
N 26 bestätigt, dass es die von Haupert beschriebenen Sicherheitslücken gab. "Wir sind ihm sehr dankbar, dass er auf uns zugekommen ist", sagte eine Sprecherin des Unternehmens. So habe man die Schwachstellen beheben können, "bevor einem Kunden irgendein Schaden entstanden ist."
Haupert sagt, dass die Zusammenarbeit mit N 26 "sehr professionell" gewesen sei. "Das ist in der Branche leider nicht selbstverständlich."
Vor einigen Monaten stand N 26 bereits in der Kritik, weil es seinen Kunden kostenloses Geldabheben versprach, dann aber 500 Kontoinhabern kündigte, die das zu intensiv genutzt hatten. Inzwischen ist die Zahl der Gratisabhebungen begrenzt.
