Progressiv

IT-Experte macht N26-Sicherheitslücken öffentlich

IT-Experte macht N26-Sicherheitslücken öffentlich

Damit war zu rechnen: Nachdem das FinTech-Unternehmen N26 aus Berlin im Katastrophenjahr 2016 endlich seine ersehnte Banklizenz sowie weitere Investitionen erhielt und neue Bankprodukte ankündigte, wurden nun massive Sicherheitslücken öffentlich. Zu Schäden wäre es aber nicht gekommen.

Wie der IT-Experte Vincent Haupert von der Uni Erlangen-Nürnberg ankündigt, wird er zum Jahresausklang anlässlich des jährlichen Hackerkongresses des Chaos Computer Clubs (CCC) einen Vortrag unter dem denkwürdigen Titel „Shut Up and Take My Money! – The Red Pill of N26 Security“ halten. Damit will er nach eigener Aussage die „katastrophalen Sicherheitslücken“ in der technischen Infrastruktur des Berliner Bank-Startups N26 öffentlich machen.

Keine Schadensfälle bei N26

Haupert ist es angeblich gelungen, durch Manipulationen fremde N26-Accounts zu übernehmen und damit Transaktionen auszuführen. Dies sei unabhängig vom verwendeten Endgerät möglich. Es handelt sich dabei um „schwerwiegende Sicherheitslücken“, so Vincent Haupert, der seinen Hack in einer kurzen Ankündigung seines Vortrags skizziert, bei dem technische Details verraten werden sollen. N26 bestätigte, bereits Ende September von Haupert auf die möglichen Angriffspunkte aufmerksam gemacht worden zu sein. Eine Sprecherin betonte gegenüber dem Onlinemagazin Gründerszene, dass trotz aufwendiger Prüfungen keine Schadensfälle bekannt wurden, „auch nicht durch die entsprechende Ausführung vom IT-Sicherheitsdoktoranden Vincent Haupert.“

Vor einem Jahr traf es die Sparkasse

N26 gab bekannt, in den nächsten Wochen ein Bug-Bounty-Programm einzuführen und dabei Preise für das Auffinden von Schwachstellen im Code auszuloben. Haupert selbst ist nicht überrascht, gerade bei einem jungen FinTech-Unternehmen derartige Schwachstellen in der IT-Sicherheit entdeckt zu haben. Die neuen Angreifer der Finanzbranche würden voll auf Mobilität, App-Design und einer einfachen Usability im Online-Banking setzen und dabei das Thema Security vernachlässigen.
Bereits im vergangenen Jahr zeigte Haupert während des CCC-Treffens, wie leicht eine Online-Banking-App zu hacken ist und dabei Überweisungen manipuliert werden konnten – allerdings traf es damals kein FinTech-Unternehmen, sondern es handelte sich um die Online-Banking-App der Sparkasse.

Unglücklicher Zeitpunkt

Einen schalen Nachgeschmack bekommt die Meldung über diesen Hack vom September allerdings aufgrund des jetzigen Veröffentlichungsdatums. Gerade erst vor wenigen Tagen gab das Unternehmen auf der TechCrunch Disrupt Konferenz bekannt, in insgesamt neun weitere europäische Länder expandieren zu wollen. Außerdem wolle man aufgrund der eigenen Banklizenz, die N26 seit Sommer 2016 vorliegt, künftig mehr Bank-Produkte zum Investieren oder Sparen den Kunden anbieten.

gelernter Journalist und MM-Prod.(FH), Jahrgang 1971, seit Dezember 2015 Redaktionsmitglied der proVision.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter abonnieren
Wir benutzen Cookies, um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.
Send this to a friend