Sicherheitsmängel beim Bank-Startup N26: Eine Frage der Prioritäten

Von der Manipulation einzelner Überweisungen bis zur Übernahme ganzer Konten – was Vincent Haupert beim 33C3 über Sicherheitsmängel bei der Direktbank N26 offenbart, klingt erschreckend. Wir haben uns mit ihm über mobiles Banking, die Probleme von N26 und politische Konsequenzen unterhalten.

Vincent Haupert ist IT-Sicherheitsforscher der Uni Erlangen-Nürnberg. Auf dem 33. Chaos Communication Congress in Hamburg hat er heute gezeigt, wie er gravierende Sicherheitsmängel beim Direktbank-Startup N26 aufdeckte. Im Interview erzählt er unter anderem, auf welche Sicherheitsprobleme er bei dem FinTech-Startup gestoßen ist und warum das ganze System hat. (Die Videoaufzeichnung des Talks ist inzwischen auch bei ccc-tv online)

netzpolitik.org: N26 ist eines der wenigen Finanz-Startups mit Banklizenz. Das Unternehmen wirbt mit schickem Design und unkomplizierten Verfahren. Man soll ein Konto in unter acht Minuten eröffnen können. Sind das für Finanzdienstleistungen die falschen Prioritäten?

Vincent Haupert: Grundsätzlich ist eine möglichst ansprechende und intelligente Benutzerführung immer zu begrüßen. Dennoch muss es ein – wenn nicht das – Hauptanliegen einer Bank sein, die Einlagen ihrer Kunden so gut wie möglich vor unbefugtem Zugriff zu schützen. Viele Menschen geben ihr Geld überhaupt erst einer Bank, weil sie es dort für sicher halten. Kann eine Bank dieses Sicherheitsversprechen nicht halten, dann leidet das eigentliche Kapital des Kreditinstituts: das Vertrauen.

Bei FinTechs wie N26 lässt sich beobachten, dass sie auf der Welle des Vertrauens reiten, die die alteingesessenen Kreditinstitute über die Zeit mühsam angestaut haben. Obwohl sie faktisch keinen Beitrag zu diesem Vertrauensverhältnis leisten, profitieren sie von dem Image, das mit ihnen als Bank assoziiert wird. Dadurch können sie die etablierten Banken mit hippem Design und innovativen Authentifizierungslösungen angreifen, ohne dass ernsthaft jemand die Sicherheit des Systems bezweifelt.

Gravierende Mängel

Vincent Haupert. Foto: Vincent Haupert, alle Rechte vorbehalten.
Vincent Haupert. Foto: Vincent Haupert, alle Rechte vorbehalten.

netzpolitik.org: Ein krasser Irrtum, wie du gerade auf dem 33C3 demonstriert hast. Was genau hast du herausgefunden?

Vincent Haupert: In der Vergangenheit habe ich hauptsächlich kritisiert, dass mit dem faktischen Wegfall der Zwei-Faktor-Authentifizierung vielen Unternehmen beim mobilen Banking auf ein zentrales Sicherheitsprinzip verzichten: Weil beim pushTAN-Verfahren sowohl die Auslösung einer Transaktion als auch die notwendige Sicherheitsbestätigung auf ein und demselben Gerät stattfinden, sind die Verfahren leichter zu kompromittieren. Obwohl N26 eine sehr ähnliche Angriffsfläche bietet wie das pushTAN-Verfahren, reichen die Schwächen hier über die Konzeption des Authentifizierungsmodells hinaus. Somit war es uns durch rein technische Mängel möglich, mehrere Angriffe durchzuführen: Wir konnten zum Beispiel Transaktionen manipulieren, also vom Nutzer durchgeführte Überweisungen an ein anderes Konto mit einem ganz anderen Betrag umlenken.

Seit iOS 10 ist es zudem bei N26 möglich, Transaktionen über Apples iPhone-Sprachassistenten Siri auszuführen. Durch nachlässige Implementierung wurden diese Transaktionen bislang jedoch nicht signiert, weshalb es Angreifern nur mit dem Wissen der Login-Daten möglich war, eigene Transaktionen zu tätigen — selbst wenn man gar kein iPhone besitzt.

Für Angreifer, die die Login-Daten eines Kunden kennen, ist es außerdem möglich gewesen, das eigene Telefon als mit dem N26-Konto verknüpftes Gerät zu registrieren. Das verknüpfte Smartphone ist gewissermaßen der zweite Faktor im Authentifizierungssystem des Unternehmens und ermöglicht vollen Zugriff auf das Konto eines Kunden. Vom Konzept her ist dieser Schritt zwar gut geschützt, ein Großteil der benötigten Daten über einen Kunden lässt sich aber aus der N26-API herauslesen.

netzpolitik.org: Das sind wirklich keine Kleinigkeiten, sondern heftige Sicherheitsmängel.

Vincent Haupert: Moment, das war noch nicht alles. Auch alle Informationen, die für eine Identifikation gegenüber dem Kundendienst gebraucht werden, etwa das Geburtsdatum, ließen sich anders als vorgesehen über die API auslesen. Alles was man dafür braucht waren wiederum die Login-Daten. Im Folgenden hätte man dann im Kontakt mit dem Kundendienst alle möglichen Daten ändern lassen können.

Außerdem kann man die „MoneyBeams“-Funktion von N26, mit der Geld mit sofortiger Wirkung an andere N26-Kunden geschickt werden kann, dafür verwenden, einen großen Datensatz auf N26-Kunden zu überprüfen. Das funktioniert deshalb, weil N26 ungehasht alle E-Mail-Adressen und Telefonnummern des Adressbuchs hochlädt und mit den Kontaktdaten seiner Kunden vergleicht. Erst vor wenigen Wochen wurde ein Datensatz von 68 Millionen E-Mail-Adressen mit Passworthashes veröffentlicht, der aus dem Dropbox-Leak von 2012 stammt. Wir haben den kompletten Datensatz gegen die API von N26 evaluiert und dabei 33.000 Kunden des Unternehmens identifiziert. Gegen diese könnte man nun einen gezielten Spear-Phishing-Angriff starten, der seine Opfer anweist, ihr Passwort durch Klick auf einen entsprechenden Link zu ändern, weil sie von dem Dropbox-Leak betroffen sind.

Darüber hinaus war es auch ausreichend, Zugriff auf den Mailaccount des Opfers zu haben, um an die Login-Daten des N26-Nutzers zu gelangen. Um ein vergessenes Passwort wiederherzustellen, versendet N26 eine E-Mail an den Nutzer. Der Link in dieser Mail allein genügt, um ein neues Passwort zu vergeben. Dieses Vorgehen mag bei weniger wichtigen Onlinekonten ein legitimes Vorgehen sein. Für das eigenhändige Ändern der Zugangsdaten verlangen andere Banken in der Regel eine TAN, was den Vorgang deutlich absichert.

Fehler mit System

netzpolitik.org: Wir gehen mal davon aus, dass das von N26 keine Absicht war. Aber ist das noch eine Reihe wirklich unglücklicher Zufälle oder war das deiner Meinung nach Fahrlässigkeit seitens der Bank?

Vincent Haupert: Wenn man sich die Taxonomie der Sicherheitsprobleme vor Augen führt, dann fällt es schwer, von einem unglücklichen Zufall zu sprechen. Es liegt näher anzunehmen, dass N26 die entsprechende Kompetenz im Haus fehlt oder dass zumindest die internen Abläufe der IT-Sicherheit nicht die Beachtung schenken, die sie sollten. Das Gros der aufgezeigten Angriffe ist im Grunde kein Hexenwerk und hätte auffallen müssen.

netzpolitik.org: Du hast deine Entdeckung zuerst mit N26 geteilt. Wie hat das Unternehmen reagiert?

Vincent Haupert: Ich hatte von Anfang an vor, meine Funde im Responsible-Disclosure-Verfahren an N26 zu berichten, damit kein Kunde durch meine Veröffentlichung einen Schaden davonträgt. Der Kontakt zum Unternehmen wurde dabei über den CCC hergestellt, da ich zunächst nicht wusste, wie N26 reagieren würde. Letztendlich waren alle Befürchtungen aber unbegründet und der Umgang professionell und freundlich. Auch die von mir gesetzte Frist, alle Lücken bis zu meinem Talk zu schließen, wurde eingehalten.

netzpolitik.org: Wovor hattest du Angst?

Vincent Haupert: Es ist vorher nie ganz klar, wie ein Unternehmen darauf reagiert, dass jemand Sicherheitslücken in deren System gefunden hat. Von Kollegen weiß ich, dass so eine Nachricht nicht immer von einem entsprechenden IT-Sicherheitskontakt, sondern stattdessen von der Rechtsabteilung beantwortet wird. Aus diesem Grund kann ich es sehr empfehlen, den Kontakt über eine entsprechende Größe wie den CCC herzustellen. Auch eine Antwort erfolgt dann wesentlich schneller.

Eine Frage der Prioritäten

Foto: Tim Evans unter CC0 via unsplash
Hohe Sicherheit erfordert Kompromisse bei der Funktionalität (Symbolbild).
Foto: Tim Evans unter CC0 via unsplash

netzpolitik.org: Die konkreten Probleme bei N26 konnten also behoben werden. Du sprichst hier auf dem Congress aber auch über den größeren Kontext: Mit dem Slogan „Banking, aber besser“ will sich das Startup von traditionellen Banken abheben. Würdest du sagen, dass die von dir entdeckten Probleme symptomatisch für die FinTech-Szene sind?

Vincent Haupert: Eine Pauschalisierung verbietet sich natürlich. Dennoch sind FinTechs letztendlich auch nur Start-ups und deshalb mit begrenztem Budget ausgestattet. Insofern das Geschäftsmodell des FinTechs nicht selbst Sicherheit zum Inhalt hat, ergibt sich leicht eine Vernachlässigung der IT-Sicherheit.

Das liegt nicht zuletzt darin begründet, dass IT-Sicherheit nicht-funktional ist, dem Produkt also keinen unmittelbaren Mehrwert für seinen Verwender bietet. Im Gegenteil: IT-Sicherheit schränkt den Nutzer inhärent in seinen Handlungsmöglichkeiten ein. Dadurch schwingt IT-Sicherheit zwar als abstrakter Wert immer mit, kostet dafür aber verhältnismäßig viel Geld und hilft nur bedingt bei der Überzeugung von Investoren. Vor diesem Hintergrund liegt es nahe, dass FinTechs zunächst andere Prioritäten setzen.

netzpolitik.org: Es ist also wie immer: Kunden tragen auch eine eigene Verantwortung. Wer alles immer nur schnell, einfach und am besten kostenlos will, fördert eine Kultur, in der IT-Sicherheit nur noch zweitrangig ist. Hast du konkrete Tipps für technisch nicht versierte Verbraucher, worauf sie bei mobilen Banking-Anwendungen achten sollten?

Vincent Haupert: Letztendlich gilt hier der gleiche Ratschlag wie in allen anderen Lebensbereichen auch: Es ist nicht alles Gold, was glänzt. Gerade auf neue Technologien und Entwicklungen sollte nicht nur mit Euphorie, sondern auch mit einem gesunden Maß an Skepsis reagiert werden. Ich sage gewiss nicht, dass man sich dem technischen Fortschritt verschließen, sondern nur, dass dieser kritisch hinterfragt werden sollte.

Grundsätzlich empfehle ich, Transaktionsauslösung und -bestätigung immer über zwei verschiedene Geräte vorzunehmen. Die Bestätigung kann dabei z. B. auch über ein App-basiertes TAN-Verfahren erfolgen. Dasselbe Gerät darf aber nicht genutzt werden, um die Transaktion anzustoßen, da sonst ein kompromittiertes Gerät ausreicht, um Kontrolle über beide Faktoren zu erlangen.

Etablierte Banken ziehen nach

netzpolitik.org: Du hast dich schon länger mit Sicherheit im Bereich digitaler Finanzdienstleistungen auseinandergesetzt: Machen die Banken da insgesamt einen guten Job?

Vincent Haupert: Ich moniere schon länger den schleichenden Verfall der Zwei-Faktor-Authentifizierung. Obwohl sich die Anwendung zweier unabhängiger Elemente in der Vergangenheit bewährt hat, bleiben auch die etablierten Banken nicht unbeeindruckt von FinTechs wie N26. Ganz im Gegenteil: Der große Zuspruch, den die „mobile first“-Strategie von N26 erfährt, führt bei den traditionellen Kreditinstituten dazu, die Sicherheit ihrer eigenen Systeme aufzuweichen oder gar eigene „mobile first“-Lösungen zu entwickeln. Das jüngste Beispiel, das diesem Schema folgt, ist YOMO, der N26-Klon der Sparkassen-Finanzgruppe.

netzpolitik.org: Wenn wir auf mobiles Banking und Sicherheit schauen, müssen wir natürlich auch über die Geräte sprechen. Wie bewertest du insgesamt die zunehmend zentrale Rolle von Smartphones und Tablets für digitale Finanzdienstleistungen?

Vincent Haupert: Das ist eine Entwicklung, die auf jeden Fall kritisch zu hinterfragen ist. Das Vertrauen der Banken in die Sicherheit der vorherrschenden mobilen Geräte scheint schier unendlich zu sein. Meiner Auffassung nach begehen die Banken jedoch einen naturalistischen Fehlschluss: Nur, weil es aktuell aufgrund des noch übersichtlichen Mobilebanking-Marktes keine entsprechende Schadsoftware gibt, heißt das nicht, dass es sie nicht in naher Zukunft geben wird. Wie wir bereits vor einem Jahr zeigen konnten, können sich Mobilebanking-Verfahren, die beide Authentifizierungsfaktoren auf demselben Gerät betreiben, nicht wirkungsvoll gegen Schadsoftware zur Wehr setzen.

netzpolitik.org: Das alles schreit geradezu nach politischer Regulierung, wenn die Unternehmen von sich aus zu nachlässig sind. Wie steht es um Standards, Zertifizierung, Aufsicht, Haftung und so weiter? Wird da im Bereich des mobilen Banking schon genug gemacht, um die Sicherheit von Bankkunden zu garantieren?

Vincent Haupert: Finanzdienstleister im Allgemeinen und Onlinezahlung im Speziellen sind durchaus Gegenstand von Regulierungen. Bis zu der Verabschiedung der Zweiten Zahlungsdiensterichtlinie (PSD2) war aber gerade der Bereich mobiler Zahlungen weitgehend von bestehenden Vorgaben ausgeschlossen. PSD2, das nach einer Übergangsphase von zwei Jahren Anfang 2018 verbindlich wird, schreibt auch explizit für mobile Endgeräte vor, dass diese starke Kundenauthentifizierungen durchführen müssen. Das bedeutet, dass die Authentifizierung aus mindestens zwei Elementen aus den Bereichen Wissen, Besitz und Inhärenz bestehen muss.

Darüber hinaus müssen die Elemente voneinander unabhängig sein, sodass die Kompromittierung eines Elements nicht auch zur Kompromittierung der anderen führt. Gerade bezüglich der letzten Anforderungen ist die Konformität von „mobile first“-Verfahren anzuzweifeln. Die genauen Anforderungen an die starke Kundenauthentifizierung befinden sich gerade aber noch in der Finalisierungsphase durch die Europäische Bankenaufsicht EBA. Ich hoffe, dass sie hier klare Grenzen definiert. Grundsätzlich gilt nach PSD2 bei Haftungsfragen für Finanzdienstleister aber „comply or pay“: Entsprich den Anforderungen oder komm für den Schaden auf.

netzpolitik.org: Vielen Dank für das Gespräch.

N26 weist in einer offiziellen Stellungnahme im Unternehmensblog darauf hin, dass bislang „keine Schadensfälle durch den theoretischen Zugriff bekannt“ sind.

16 Ergänzungen

  1. Was ich nicht verstehe:
    Die Bank wird für kriminelle Abbuchungen haftbar gemacht
    Wieso tun die dann nichts??????

    1. Kosten-Nuzen Rechnung …
      Die Absicherung der Vorgänge kostet Geld … für jede gesicherte Transaktion!
      Aktuell scheint es so zu sein …
      Der Missbrauch findet sagen wir mal (also meine Zahlen sind nur Fiktiv) lediglich alle 10000 Transaktionen statt, mit für die Bank vertretbaren Verlusten, weil der Kunde dieses bezahlt … mit einer höheren Sicherheitsstufe, würden die laufenden Kosten für das Sicherheitsinstrumentarium evtl. die kalkulierten Verluste bei weitem überschreiten!
      Aber hey, die echten Zahlen halten die Banken und Versicherungen unter Verschluss … bei den einen wegen des Vertrauens der Kunden und die Anderen wollen Profit machen … gäbe es ein optimales, billiges Sicherheitssystem, das funktioniert … müssten die Versicherer die Prämien senken, was letztendlich für diese einen Verlust darstellen würde …

  2. Kommt mal runter.

    Vor unbefugtem Zugriff zu schützen heißt zuallererst mal dass das Konto vor staatlichem Zugriff sicher sein muss, das ist nämlich der größte Dieb. Wahrscheinlichkeit, dass der Staat unser Geld stiehlt? 100%. Wahrscheinlichkeit, dass das ein anderer macht? ??%. Sichere Konten gibt es nicht, Banken sind Staatskomplizen, jede Information damit per se von Beginn an kompromittiert.

    Zwei-Faktor-Authentifizierung ist schön, aber darf nicht übers Handy laufen. diskriminiert Kunden ohne Handy und Kunden, die Ahnung von Sicherheit haben. Das Handy hat ja auch immer die aktuelle Position und ein Mikrofon, womit man die Tatstaturgeräusche analysieren und so die Infos auslesen kann. Scheint Vincent nicht zu kennen, obwohl die Methode längst veröffentlicht ist. Manchmal läuft das über Flash oder Javascript oder mit einer Card-TAN Blackbox, was noch schlimmer ist. Das alte TAN Verfahren ist sicher, wenn man den Computer sauber hält. Wenn man natürlich Windows oder Google Software benutzt bringt irgendeine Zwei-Faktor-Authentifizierung gar nichts.

    1. Guter Punkt!
      Spielst du mit Wahrscheinlichkeit==100% bei Wegnahme durch den Staat auf das Thema Negativzinsen oder mögliche Enteignungen bzw. Zwangsenteignungen oder auch „Zwangshypotheken“ an?
      Wenn ja, dann hast du natürlich recht:
      Der Staat kann dir über die Regulierungsinstanzen (Bundesbank, BaFin) mehr oder weniger dein Konto direkt reduzieren bzw. sogar nullen – Banken müssen Regelungen umsetzen und befolgen, in Extremfällen kann die Aufsicht (bei Banken macht das die Bundesbank) auch mal direkt eingreifen.
      Wwas glaubt ihr, wie damals der Lastenausgleich implementiert wurde? Da gibts dann einfach ein neues Gesetz, das die Institutionen (in dem Fall Banken) befolgen müssen und fertig ist die Laube…

      Siehe u.a. https://de.wikipedia.org/wiki/Zwangshypothek

      Wenn man sich davor schützen möchte, bleibt nichts anderes übrig als sich auf einen Zahlungskreislauf umzustellen, der weniger anfällig für staatliche Eingriffe & Regulatorik ist…

      1. @Konto Erstellen … die „kalte Progression“ ist viel Profitabler, deswegen wird bei fast jeder Bundestagswahl versprochen, diese abzuschaffen, aber hey … dieser Versprecher wird stets einkassiert!

  3. Mhh, hab mir ein N26-Konto geholt, eigentlich ganz okay. Hab nur Geld draufgetan, damit ich mit der Mastercard einen Notebook kaufen kann. Funzt und das Geld ist nicht weg. Bargeld bunker ich bei Consors, dort gabs auch ein kostenloses Girokonto mit Visacard. Außerdem kostet die Aktienporfolioführung nix. Bitcoins mach ich über das Konto der Fidorbank.

    Derzeit gibts gute Kontos für lau.

  4. Wir haben früher einfach anonym Kontakt zu Banken aufgenommen wenn wir was gefunden haben bei denen.. Über wegwerfmailadressen aus anderen Ländern oder halt aus ner Telefonzelle (gabs damals noch viel)

  5. Wieso darf dann N26 überhaupt seine Banklizenz behalten?
    Die sind doch durch das bloße Schließen dieser von V.H. aufgezeigten Lücken doch nicht ein Stück näher an wirkliche Sicherheit herangekomen!
    Z.B. 4-stelliger Transfer code(!!!!), überhaupt keine 2FA?
    Das kann doch nicht richtig sein für die Banklizenz?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.