Seite 4: S-Banking

Inhaltsverzeichnis

S-Banking

getestet: Version 1.6.0

Also doch lieber eine App von einer richtigen Bank? S-Banking wurde zunächst im Auftrag der Sparkassen entwickelt und trägt nach wie vor deren Logo. Allerdings unterstützt die meistgekaufte Finanz-App mittlerweile viele Banken und der Hersteller Star Finanz hat bereits mit Star Money Renommee im Bereich Online-Banking gesammelt.

Wie man es von einer Bank erwartet, wird hier Sicherheit groß geschrieben: Eine Möglichkeit etwa, TANs abzuspeichern, sucht man vergeblich. Das sei „Sicherheitshinweisen der Sparkassen […] geschuldet, die das Speichern der TANs auf einem Endgerät aus Sicherheitsgründen explizit ausschließen“ erklärte man uns auf Nachfragen.

Trotzdem unterstützt die App natürlich Transaktionen und die Eingabe von TANs. Wenn der Anwender die dann ausgedruckt im Klartext mit sich herumträgt und womöglich zusammen mit dem iPhone verliert, hat wenigstens der Hersteller nichts falsch gemacht. Ähnliches gilt im Übrigen auch für mTANs, die S-Banking nicht mehr unterstützt: „Gemäß der Vorgaben des Zentralen Kreditausschusses und des BSI ist beim Mobile-Banking die Verwendung des mobilen TAN-Verfahrens nur zulässig, sofern die Datenübertragung über zwei unterschiedliche Kanäle erfolgt.“ Und das ist nicht mehr gewährleistet, wenn die TAN via SMS aufs iPhone kommt. Wer deshalb das deutlich unsicherere iTAN-Verfahren einsetzt, ist dann wieder selber schuld.

Die Analyse des Dateisystems förderte keine Schwächen zu Tage. Alle relevanten Daten waren permanent verschlüsselt; zu keinem Zeitpunkt fanden wir vertraulichen Klartext. Einziger Kritikpunkt bis dahin: Wenn man statt die App zu beenden oder in den Hintergrund zu schicken, sein iPhone in den Sleep-Modus versetzt und Stunden später wieder aufweckt, strahlt einen die nach wie vor voll funktionsfähige S-Banking-App an. Die beiden anderen Apps fordern in dieser Situation zur erneuten Eingabe des Banking-Passworts auf; Star Finanz hat uns versichert, das ebenfalls nachzubessern. Bis dahin ist es unbedingt zu empfehlen, wenigstens den optionalen Passcode des Systems zu setzen.

Eine böse Überraschung gab es dann, als wir den Netzwerk-Sniffer anwarfen und Man-in-the-Middle-Angriffe durchführten: Ohne zu zögern, vertraute S-Banking die für die Postbank gedachten Daten einem Server an, der sich zwar mit einem gültigen SSL-Zertifikat auswies – aber mit einem Namen, der überhaupt nichts mit Banking zu tun hatte. Ein solches Zertifikat kann sich jeder Inhaber einer Domain innerhalb von wenigen Minuten kostenlos ausstellen lassen. Damit kann ein Angreifer im Netz nicht nur Online-Banking-Vorgänge belauschen, sondern diese auch nach seinem Gusto manipulieren und gefälschte Überweisungen absetzen.

Richtige Risse in der so sehr auf Sicherheit getrimmten Fassade gab es dann, als wir dieses Problem dem Hersteller meldeten. Selbstverständlich reagierte er sofort und versuchte sogar, innerhalb von 24 Stunden eine neue Version bei Apple einzuchecken (iPhone: 1.6.4 iPad: 1.5.3, Android laut Hersteller nicht betroffen).

Doch im Gespräch stellte sich heraus, dass man sich des Problems offenbar schon länger bewusst war, einen Fix allerdings wegen möglicher Probleme bei der Multibank-Fähigkeit erst für ein späteres Update vorgesehen hatte. Dieses „wird schon keiner merken“ ist nicht gerade die Art und Weise, wie man sich den Umgang mit ernsten Sicherheitsproblemen einer Banking-Applikation vorstellt.