Web- und App-Sicherheit bei Fintech-Startups hat Mängel

Viele Startups im Finanzsektor nehmen es mit der Sicherheit ihrer Webseiten nicht ganz so genau, wie man es vielleicht von innovativen Tech-Unternehmen erwarten würde. In einer Untersuchung der 100 größten Unternehmen der Fintech-Branche fanden Analysten bei jeder der Firmen mindestens das eine oder andere Problem.

Besonders alte Software auf vergessenen Subdomains oder vernachlässigte APIs machen den Startups zu schaffen. Alle untersuchten Mobile-Apps haben Schwachstellen und nur zwei der Fintechs erfüllten alle von den Analysten angelegte Anforderungen an Verschlüsselung, Sicherheit und Datenschutz auf ihren Haupt-Webseiten. Immerhin schließen die Startups aber immer noch fast ausschließlich besser ab als die Web-Präsenzen herkömmlicher Banken.

Lücken, die jeder mit wenig Aufwand finden kann

Die Analysten der auf Websicherheit spezialisierten Firma ImmuniWeb haben ihre Tests allein an Hand von Informationen durchgeführt, die sich aus dem öffentlichen Netz einholen lassen – sie drangen also in keine Computersysteme oder Netze der zu testenden Firmen ein. Sie untersuchten sowohl die Webseiten der Firmen samt aller Subdomains und erkennbarer API-Endpunkte als auch deren Mobile-Applikationen. Dabei überprüften die Tester die Sicherheit der im Einsatz befindlichen Software (um welche Version handelt es sich und gibt es dafür bekannte Sicherheitslücken?), die Konfiguration der SSL-Verschlüsselung zum Server und die Möglichkeit, Phishing-Angriffe gegen die Betreiber der Webseiten und Apps zu fahren. Außerdem überprüfte ImmuniWeb das Einhalten der EU-GSDVO und des Kreditkarten-Datenverarbeitungsstandards PCI DSS.

Wenig überraschenderweise war die in der Untersuchung am meisten auftauchenden Art von Sicherheitslücke die eine oder andere Variation von Cross-Site Scripting (XSS). Gefolgt von Datenlecks und falsch konfigurierten Sicherheitseinstellungen. Alle untersuchten Mobile-Apps enthielten mindestens eine Sicherheitslücke von mittlerem Schweregrad, fast alle Apps hatte mindestens eine Lücke mit hohem Risiko. Mehr als die Hälfte aller Server-Backendsysteme, die eigentlich ausschließlich mit mobilen Apps kommunizieren sollen, gaben Teile ihrer Daten auch an Dritte Preis – zum Teil handelte es sich dabei um Datenschutzprobleme, vereinzelt auch um gefährliche Sicherheitslücken, die für weitere Angriffe genutzt werden könnten.

Fintechs sind den Banken fast überall voraus

Insgesamt fanden die Analysten auf den Subdomains der 100 untersuchten Firmen 1074 veraltete Softwareinstallationen, mindestens 64 davon enthielten Sicherheitslücken, die sich für Angriffe hätten nutzen lassen. Sie fanden unter anderem WordPress 4.7.1 aus dem Januar 2017 und eine jQuery-Lücke von 2012 (CVE-2012-6708). Immerhin erhielten zwei der Fintech-Startups Bestnoten für ihre Hauptwebseite: Brex und N26 ließen sich dort nichts zu Schulden kommen. Auch bei der SSL-Sicherheit sieht es bei den Fintechs gut aus. Alle bis auf eine Firma erhielten die bestmöglichen Noten A und A+. Nur eine Firma hatte kleine Probleme und bekam immerhin die Schulnote B (gut).

Insgesamt schließen die 100 Startups fast überall besser ab als die ersten 100 Kreditinstitute aus der S&P-Global-Liste der größten Banken. Abgesehen von statistischen Anomalien bei der Datenbasis sind die Banken den Fintechs nur bei der Beachtung von PCI-DSS-Richtlinien und bei der EU-DSGVO voraus. Und dabei handelt es sich, wie gesagt nur um Faktoren, die sich von außen einsehen lassen – etwa öffentliche Disclaimer und Kontaktadressen. Angesichts der Untersuchung von ImmuniWeb sollten wohl beide Seiten der Branche mitnehmen, dass sie auf ihren Web-Präsenzen verstärkt nach vergessener Software Ausschau halten müssen und dass auch Software, die unter Subdomains erreichbar ist, auf dem neusten Stand gehalten werden muss. (fab)