Umfrage: Welche iOS-Banking Apps sollen wir uns anschauen?

Chatprotokoll

Ganz kurz in eigener Sache:
Wir planen nach der Resonanz auf den letzten Artikel, weitere Apps unter die Lupe zu nehmen. Da der Aufwand recht hoch ist, und es viele Banking Apps gibt, wollen wir von Euch wissen:

Welche Banking Apps sollen wir uns als nächstes vornehmen?

Die Umfrage läuft bis Ende des Monats. Danke.

FinanzAssist: Die sicherste Banking App…

finanzassi0
Standard

FinanzAssist ist also die sicherste Banking App. Und dazu noch kostenlos. Das ist eine Aussage, die eine gründliche Überprüfung fordert.

Kurzfassung: Da nimmt jemand den Mund ganz schön voll!

  • Sämtliche Bankdaten inklusive PIN/TAN laufen über einen Server von cosmosdirekt.
  • Angriff via SSL Man in the Middle ist möglich.
  • Die Finanzdaten werden im Klartext oder Base64 kodiert, also unverschlüsselt übertragen.
  • Es kommen vier verschiedene Systeme (Intelliad, Visual Website Optimizer, Webtrekk und Nuggad) zum Analysieren des Benutzerverhaltens zum Einsatz. Um dies zu unterbinden, muss der Kunde aktiv werden, ansonsten wird fröhlich ausgewertet.
  • Es werden mehrfach Server von buhl-data kontaktiert, die Software basiert auf FinanzBlick und hat offensichtlich noch technische Abhängigkeiten zu buhl-data.

Toll das man sich in der App für 7,90€ jährlich gegen Missbrauch seiner Finanzen schützen kann. Aber nicht gegen das Auswerten seines Verhaltens und seiner Finanzdaten? Und das ganze wieder einmal von einem strengen TÜV geprüft, diesmal TÜV Rheinland und nicht TÜV Saarland.

Aber der Reihe nach:

Getestet wurde von mir die aktuelle iOS App Store Version 1.0.0 von FinanzAssist vom 01.11.2014.

Anders als bei anderen Banking Apps, die direkt mit der Bank kommunizieren, läuft hier alles über den Server finanzassist.cosmosdirekt.de bzw. http://www.cosmosdirekt.de. Im Klartext: Die Zugangsdaten, also auch PIN und TAN werden an CosmosDirekt übertragen, der Abruf der Bankdaten geschieht von dort aus. Dies verstößt in der Regel bei allen mir bekannten Banken gegen deren AGBs.

Es ist kein Problem mit einem eigenen Root-CA Zertifikat und z.B. Charles oder Burp Suite den SSL Traffic mittels Man-in-the-Middle* zu entschlüsseln. Auf technische Maßnahmen dies zu unterbinden, wurde bei der „sichersten Banking App“ offensichtlich verzichtet.

*Für die technisch Versierten: Es ist klar das dazu erstmal das Zertifikat auf ein Gerät gebracht werden muss. Allerdings ist dies nicht das große Hindernis. Technisch gibt es Mittel und Wege (SSL Pinning) das Mithören komplett zu unterbinden.
finanzassi1

Ein kleiner Teil des SSL entschlüsselten Traffics von FinanzAssist…

Wer sich damit abfinden kann, gegen seine Bank AGBs zu verstoßen und seine Finanzdaten über die Server einer Versicherung laufen zu lassen, der würde von der „sichersten Banking App“ zumindest erwarten, dass die Finanzdaten zusätzlich verschlüsselt werden. Selbst dass hält man offensichtlich bei FinanzAssist nicht für nötig.

So wird die PIN am iOS Gerät abgefragt und dann unverschlüsselt an den Server der comosdirekt übertragen.

finanzassi2

Schön meine PIN wird im Klartext übertragen…

Man macht sich auch nicht die Mühe, die an die App gesendeten Daten in irgendeiner Form zu verschlüsseln. Egal ob Umsatzdaten oder Kontostände.

finanzassi3

Aber das ist nicht alles…

Wie eingangs schon erwähnt kommen mehrere User-Tracking Systeme zum Einsatz. Wozu das ganze? Marketing – also wo und wann muss ich den „Kaufen“ Button hinsetzen, damit Ihn möglichst viele anklicken.

finanzassi4

Jeder Klick wird protokolliert. Ob dieser Anwender sich so verhält wie gewünscht😉 ?

Die Beschreibungen der jeweiligen Dienstleister bringen es ganz gut rüber, wer sich einlesen will, bitte sehr:

https://vwo.com/
http://nuggad.net/de/
http://www.intelliad.de/
http://www.webtrekk.com/de/home.html

Wenn Ihr das Tracking nicht wollt, müsst Ihr dafür aber selbst sorgen. Wäre mal interessant, ob das in Deutschland überhaupt erlaubt ist. (Falls ein Anwalt sich dazu äußern kann: securityhandle at posteo.de, Danke!)

Dazu in den AGBs (Stand 14.11.2014) die wichtigen Stellen habe ich markiert.

1. Dienstleister für Webanalyse und Widerspruchsmöglichkeit (Opt-out)
Für statistische Auswertungen bedienen wir uns der Technologien folgender Anbieter:

Webtrekk GmbH, Boxhagener Str. 76-78, 10245 Berlin
http://www.webtrekk.de
Die Webtrekk GmbH wurde im Bereich Datenschutz vom TÜV Saarland zertifiziert. Insbesondere wurde hierbei die Erfassung und Verarbeitung von Tracking-Daten auf Datenschutzkonformität und Datensicherheit überprüft und zertifiziert.

Der Datenerhebung und -speicherung durch Webtrekk kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://www.webtrekk.com/index/datenschutzerklaerung/opt-out.html

Bei der Nutzung der mobilen FinanzAssist-App ist ein zusätzlicher Widerspruch über die Einstellungen innerhalb der App notwendig.

intelliAd Media GmbH, Sendlinger Str. 7, 80331 München
http://www.intelliad.de
intelliAd ist ein Unternehmen der Deutschen Post und ISO-zertifiziert.

Der Datenerhebung und -speicherung durch IntelliAd kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://login.intelliad.de/optout.php

AdClear Gmbh, Torstraße 106, 10119 Berlin
http://www.adclear.de
Die AdClear GmbH ist für Datenschutz im Bereich Kampagnentrackingsysteme vom TÜV Saarland zertifiziert. Der Datenerhebung und -speicherung durch AdClear kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Hierzu rufen Sie bitte folgenden Link auf: http://www.adclear.de/service/adclear-opt-out/?advid=A2623155

2. Wie funktioniert der Widerspruch bzw. die Deaktivierung über den Link?
Durch Bestätigung der Links wird auf Ihrem Datenträger ein sogenannter Opt-out-Cookie gesetzt. Bitte beachten Sie, dass bei einem Löschen sämtlicher Cookies auf Ihrem Rechner/Endgerät auch diese Opt-out-Cookies gelöscht werden, d.h., dass Sie erneut die Opt-out-Cookies setzen müssen, wenn Sie weiterhin dieser Form der Datenerhebung widersprechen wollen. Die Opt-out-Cookies sind pro Session, Browser und Rechner/Endgerät gesetzt und müssen daher für jede Session, jeden Browser, Rechner und jedes Endgerät gesondert aktiviert werden.

Komischerweise tauchen Nuggad und VWO dort nicht auf. Vielleicht vergessen? Oder gibt es dafür keinen Opt-out?

Aber die AGBs haben noch mehr zu bieten:

1. Webbanking
FinanzAssist ermöglicht Ihnen die Durchführung von Online-Banking über den FinanzAssist-Server (Webbanking). Wenn Sie Webbanking nutzen, werden die erforderlichen Daten (insbesondere Ihre Kennung, PIN / ggf. TAN, Konto-Nr. des Empfängers und Verwendungszweck) zunächst verschlüsselt an den FinanzAssist-Server und von dort (nach technisch erforderlicher vorrübergehender Entschlüsselung im Arbeitsspeicher (RAM) des FinanzAssist-Servers) verschlüsselt an Ihre Bank übertragen. Die Buchungsdaten werden anschließend verschlüsselt von Ihrer Bank zurück an den FinanzAssist-Server übertragen und dort verschlüsselt gespeichert. Auch während der vorübergehenden Entschlüsselung im Arbeitsspeicher (RAM) des FinanzAssist-Servers hat CosmosDirekt zu keinem Zeitpunkt Zugriff auf diese Daten.

So heißt es dort, dass die PIN etc. verschlüsselt an den Server übertragen werden. Unter verschlüsselt verstehe ich mehr als nur den Transportweg (SSL) zu verschlüsseln. Das wäre wie wenn ich meine Zugangsdaten samt PIN im Klartext dem Postboten in ein Kuvert lege, und Ihn bitte es nicht aufzumachen.

CosmosDirekt hat also zu keinem Zeitpunkt Zugriff auf meine Finanzdaten. Interessant.

So heißt es in den AGBs unter Paragraph II Absatz 4:

4. Kategorienfeedback
Wenn Sie zur Verbesserung von FinanzAssist beitragen möchten, können mit Ihrem Einverständnis Informationen zu den von Ihnen kategorisierten Buchungen verschlüsselt an den FinanzAssist-Server gesendet werden. Diese beinhalten den Verwendungszweck, den Empfänger inkl. Bankverbindung, Art und Betrag der Buchung, den Kontotyp, das Datum sowie die jeweilige Kategorie. Diese Daten werden von CosmosDirekt ausschließlich zur Verbesserung der Kategorisierung automatisiert verarbeitet und werden von uns nicht an Dritte weitergegeben. Sollten Sie Ihre Meinung später ändern, so können Sie Ihre Einwilligung jederzeit und mit sofortiger Wirkung unter Einstellungen->Feedback->Kategorie-Feedback widerrufen.

Schön. „Die Daten auf die wir eigentlich keinen Zugriff haben, werden also nicht an Dritte weitergegeben. Und natürlich werden wir die Daten auch nicht für unsere Zwecke auswerten.“

Wieviel Naivität man braucht man, um das alles zu glauben?

Das die Software von FinanzBlick abstammt, also von Buhl-Data kommt sieht der ein oder andere auf den ersten Blick. Erstaunlich ist aber, dass eine Referenz auf Buhl-Data und deren Server erhalten bleibt.

finanzassi5

Buhl-Data ist mit von der Partie

Auch wenn hier nur Konfigurationsdaten abgeholt werden,

finanzassi6

Was man wohl noch alles konfigurieren kann…

wäre es toll, wenn zum einen ein Server bei cosmosdirekt verwendet werden würde (Zuständigkeiten Security/Wartung?) und zum anderen die Server von buhl-data (also FinanzBlick) besser abgesichert wären.

finanzassi7

Setzen 6!

https://www.ssllabs.com/ssltest/analyze.html?d=update.buhl%2dfinance.com

finanzassi8

Poodle? Das sind doch diese Hunde mit den Locken… oder?

https://www.ssllabs.com/ssltest/analyze.html?d=update3.buhl%2ddata.com

Fazit:

Unter den zertifizierenden Augen des TÜVs („Datenschutz geprüft“) ist es also möglich mit der „sichersten Banking-App“ FinanzAssist:

  • seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen.
  • das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachtraglich und aufwendig dagegen Einspruch erhebt.
  • Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulasssen und damit weitere Angriffe möglich machen?

Hatte ich bereits erwähnt, dass die „sicherste Banking App“ auch auf Android läuft? Ab Android 2.3:

Welche Android-Version unterstützt die FinanzAssist-App?

Die FinanzAssist-App wurde für eine Vielzahl von verschiedenen Smartphones und Android-Versionen getestet. Zu Ihrer eigenen Sicherheit empfehlen wir Ihnen, immer die aktuellste Android-Version zu benutzen, da diese von Google mit sicherheitsrelevanten Updates unterstützt wird.

Die App wurde auf Geräten mit 4.x fehlerfrei getestet. Wir ermöglichen auch eine Rückwärtskompatibilität ab Version 2.3, allerdings kann es hier zu Einschränkungen im Nutzungserlebnis kommen.

Na dann mal schnell die letzte Version von Android einspielen, sofern möglich🙂

Hoffentlich wird die Versicherung gegen Schadensfälle nicht zum Verlustgeschäft für die cosmosdirekt…

Aktion: Auskunft nach §34 BDSG anfordern!

Standard

In der Zwischenzeit habe ich die Antworten der Star Finanz nochmals auf mich wirken lassen. Da ich bisher nur die Verfahrensbeschreibung nach §4 BDSG erhalten habe und mich diese (erstellt im Juni 2014, also vermutlich erst nach meiner Anfrage) nicht wirklich überzeugt hat, bitte ich alle Sparkasse+ Kunden um Ihre Mithilfe.

Fordern Sie eine kostenlose Auskunft nach §34 BDSG von Ihrer örtlichen Sparkasse und von der Star Finanz an. Musterschreiben dafür gibt es hier.

Die Adresse der Star Finanz lautet:

Star Finanz-Software Entwicklung und Vertriebs GmbH
Sachsenfeld 4
D-20097 Hamburg

Ich bitte Sie diese 60 Cent für Ihren Datenschutz zu investieren und mir die Antworten der jeweiligen Institute bzw. der Star Finanz per Mail an securityhandle at posteo.de zuzusenden. Ihre persönlichen Daten (Name, Anschrift) können Sie in Ihrer Antwort gerne schwärzen. Diese spielen für mich keine Rolle. Sämtliche Antworten werden vertraulich behandelt und nach Kontrolle der übermittelten Angaben umgehend gelöscht.

Bitte unterstützen Sie meine Arbeit mit dieser Aktion. Teilen Sie diese Aktion auf Twitter und Facebook. Es wird dem Datenschutz aller Kunden gutun!

PS: Das Hashtag Hijacking bitte ich zu Entschuldigen! Danke.

 

Sparkasse+ App und sensible Daten: Alle Antworten

Standard

Meine Fragen, die ich der Star Finanz im letzten Beitrag gestellt habe, wurden mir bereits einen Tag später beantwortet. Für alle die sich nicht die Mühe machen wollen alles zu lesen, was sich meiner Meinung nach sicher lohnt, geht es hier zum Fazit.

Sehr geehrte(r) MSA,

wie vereinbart, erhalten Sie nachfolgend die Antworten auf die von Ihnen gestellten Fragen.
Wir sind dankbar für Ihre Hinweise und haben Optimierungspunkte identifiziert, die sich bereits in der Umsetzung befinden. Allerdings hoffen wir auch, mit den Erläuterungen einige kritisierte Punkte klarstellen zu können.

Zögern Sie nicht, bei Verständnisfragen nachzufassen. Den offenen Dialog und die Gelegenheit zur Detaillierung begrüßen wir ausdrücklich, da wir damit sicherlich auch die Veröffentlichung von gekürzten oder missverständlichen Beiträgen reduzieren können. Gerne können Sie die Inhalte dieser Mail in Ihrem Blog posten.

Bezüglich der ungefragten Übertragung meiner comdirect Benutzerkennung, Konto- und Kreditkartennummern an einen Server der StarFinanz:

– Welchem konkreten Zweck dient diese Übertragung?

Neben der reinen Zahlungsverkehrsabwicklung (Umsatzabfragen, Überweisungen etc.) stehen den Nutzern unserer Apps noch eine Reihe weiterer Funktionen zur Verfügung.
Die Steuerung dieser Dienste sowie die App-Entwicklung und Bereitstellung erfolgt durch unser 100%-iges Tochterunternehmen Star Finanz GmbH im Auftrag der Sparkassen bzw. Finanz Informatik.

So werden die nicht-personalisierten Benutzer-Informationen bspw. dazu genutzt, um die App auf die jeweilige Sparkasse zu personalisieren, d.h. den Namen der „Haus“-Sparkasse des Kunden anzuzeigen. Wenn der Kunde keine Sparkassen-Bankverbindung eingerichtet hat, bleibt das Default-Branding (App-Name) erhalten.

Zudem wird geprüft, welche individuellen Zusatzfunktionen der einzelnen Institute in der App dargestellt werden sollen. Außerdem wird geprüft, ob für diesen Anwender personenbezogene Informationen seiner Bank hinterlegt wurden. Hierzu werden neben der BLZ auch die Benutzerkennung und die Kontonummern übertragen, um festzustellen, ob eine Kunden- oder Kontospezifische Nachricht für den Kunden bereitgestellt wurde. Hierbei handelt es sich um Institutsnachrichten in Form von Text-Mitteilungen und Bannern (bspw. Hinweise zu geplanten Wartungsarbeiten und damit verbundene kurzzeitige Nichtverfügbarkeit des Online-Bankings oder wie jüngst allgemeine Hinweise zur SEPA-Umstellung). Wenn das der Fall ist, werden diese vom Server an die App übertragen und lokal im gesicherten Umfeld der App abgelegt und angezeigt. Dieser Informations-Service wird von unserem Tochterunternehmen Star Finanz betrieben und auch von anderen Banken (auch Banken außerhalb der Sparkassenorganisation) zur Auslieferung von Kundeninformationen genutzt, sofern der Kunde ein Produkt der Star Finanz nutzt. Da es sich um eine multibankenfähige App handelt, sollen diese Informationen von der Haus-Bank des Kunden auch in den Apps (u.a. Sparkasse+) für den Kunden erreichbar und abrufbar sein. Der dazugehörige Server-Dienst wird neutral unter dem Namen der Star Finanz betrieben. Die Sparkassen haben zu keiner Zeit Zugriff auf die Daten von Fremdbanken.

Die Anwenderdaten (BLZ, Benutzerkennung und Kontonummern) werden ausschließlich zur Verarbeitung dieses Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung und weitere Verwendung erfolgt nicht.  Die Bezeichnung „Datenhunger“ ist deshalb sicherlich nicht angemessen.

– Sollte der theoretische Fall eintreten, dass mir die Sparkasse ein Angebot meiner comdirect Bank unterbreiten möchte, reicht dann nicht die Bankleitzahl?

Ja, die Bankleitzahl reicht aus, wenn es sich um allgemeine Informationen handelt.  Es ist dann auch nicht die Sparkasse, die diese Information unterbreitet, sondern eine Mitteilung der Bank über das Medium App. Ein realistischer Anwendungsfall für die Übermittlung von allgemeinen Informationen der Fremdbank ist bspw. „Der Server Ihrer xy-bank ist am xx.xx.2014 in der Zeit von yy bis zz aufgrund von Wartungsarbeiten nicht erreichbar“. Sofern die Bank jedoch gezielt für Sie als Kunden „MAS“ oder als Kontoinhaber des Kontos „123“ eine Information/ein Angebot unterbreiten möchte, wird mehr als die Bankleitzahl benötigt.

Diese Daten (BLZ, Benutzerkennung und Kontonummern) werden ausschließlich zur Verarbeitung des Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung und weitere Verwendung erfolgt nicht.

– Mit den übertragenen Daten lässt sich ein Profil (Wieviele Konten, wieviele Kreditkarten bei welchen Banken) erstellen. Wird oder wurde dies, wenn auch nur kurzfristig zur Datenverarbeitung, getan?

Nein, die Benutzerdaten  (BLZ, Benutzerkennung und Kontonummern) wurden und werden ausschließlich zur Laufzeit für die Verarbeitung des Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung oder gar weitere Verwendung oder Weitergabe an Sparkassen oder andere Parteien erfolgte und erfolgt nicht.  

– Warum fehlt in der Sparkasse+ App die Option diese Übertragung zu deaktivieren?

Bei der App Sparkasse+ wurde die Wahlmöglichkeit zur Deaktivierung der Anfrage nach Informationen in der App nicht gegeben. Die entsprechende Einwilligung des (Sparkassen)-Kunden hinsichtlich der Übermittlung von Nachrichten/Informationen wurde auf die Sparkassen-Institutsebene verlagert, da die Kunden die entsprechende Einverständniserklärung bzw. den Wunsch auf Verzicht individuell mit ihrer jeweiligen Sparkasse für alle Kanäle (und somit auch für die Apps) vereinbart haben.
Die App „Sparkasse+“ kann jedoch auch von Nicht-Sparkassen-Kunden genutzt werden; dort liegt dann natürlich keine entsprechende Einwilligung des Kunden vor; wie Sie korrekt dargestellt haben, wurde dieser Punkt seinerzeit nicht hinreichend beleuchtet. Diese Datenübertragung wird aktuell in einem Update der App in der Form angepasst, dass für diesen Vorgang bei (Nicht-Sparkassenkunden) künftig nur noch die BLZ allein (ohne Benutzerkennung und Kontonummern) gesendet wird. Zudem prüfen wir, ob wir die Funktion zur Auswahl der Übermittlung optional (analog der StarMoney App) wieder in der App anbieten.

Wichtig an dieser Stelle nochmal, da auf Basis Ihres Blogartikels ja bereits Verweise mit missverständlichen Aussagen entstanden sind: Die in diesem Zusammenhang übermittelten Daten (Benutzerkennung und Kontonummer) beinhalteten nicht die Online-Banking-PIN, wurden stets SSL-verschlüsselt übertragen und zur Laufzeit ausschließlich für die Prüfung des Vorliegens von Kundeninformationen verwendet und nicht gespeichert oder weiterverwertet.

– Zur Sparkasse+ App gibt es nur Lizenzbestimmungen. Eine gesetzlich vorgeschriebene Datenschutzerklärung kann ich in der App nicht finden. Wo finde ich die Datenschutzerklärung und warum ist in den Lizenzbestimmungen keinerlei Hinweis auf diese Datenübertragung enthalten.

Die Datenschutzerklärung der Star Finanz finden Sie unter der folgenden URL: http://www.starfinanz.de/index.php?id=datenschutz
Wir haben zudem Ihre Anregung aufgegriffen und es ist bei der Star Finanz eine spezifische Datenschutzerklärung für die App Stores bereits in Arbeit.

Bezüglich der Übertragung der kompletten Sparkassen Benutzerdaten inkl. PIN an einen Server der Star Finanz:
– Wie konnte es dazu kommen, dass ein produktiver Server in einem
sicheren Bankrechenzentrum mit einer Tomcat-Standardseite, die noch dazu den (veralteten, potentiell sicherheitskritischen) Versionsstand ausweist, ans Netz geht?

Hierbei handelt es sich um ein zweites, separates Thema, welches mit dem ersten, o.g. Fall nichts zu tun hat. Auch hier möchte ich gern den Eindruck von fehlender Sinnhaftigkeit (Datenhunger) und Angreifbarkeit/Sicherheitslücken ausräumen.

Der angesprochene Server (sfpa.starfinanz.de) wird von der App angesprochen, um ausgewählte, nicht via FinTS (hierüber läuft der sonstige Austausch zwischen App und Banksystem) verfügbare bankfachliche Funktionen in der App bereitzustellen.

Dieses Verfahren wurde mit einer kleinen Anzahl von Sparkassen für die Anzeige und den Abruf von Nachrichten im elektronischen Postfach des Nutzers sowie dessen Vorlagen verprobt. Und selbstverständlich erfordert dies die Authentifikation des Onlinebanking-Kunden mittels Benutzerkennung (bei Sparkassen „Anmeldenamen“) und PIN.

Die Erkenntnisse aus dieser, in diesem Monat auslaufenden, Testphase werden in die Weiterentwicklung und den Ausbau für die flächendeckende Nutzung einfließen. Der Serverdienst sfpa.starfinanz.de wird mit Ende der Testphase abgeschaltet.

Ich vermute die Irritation ist auch entstanden, da hier nicht deutlich wurde, dass die Bereitstellung dieses Abwicklungssystems über eine Domain der Star Finanz GmbH ausschließlich zur Kommunikation zwischen App und Onlinebanking-System genutzt wurde. Eine Aktualisierung der Tomcat-Version war für den Pilotbetrieb aus unserer Sicht nicht erforderlich, da keine für diesen Dienst relevanten Schwachstellen bekannt sind.

– Welche exakte Funktion wird über diesen Server abgewickelt?

Über den Server werden die Zusatzfunktionen „Postfachnachrichten abholen“ und „Vorlagen abholen“ in einem Pilotbetrieb bei ausgewählten Sparkassen verprobt.

– Da die Datenübertragung nicht über HBCI stattfindet, und vermutlich eine Eigenentwicklung ist, wieso wird die PIN dann nicht gehashed oder verschlüsselt übertragen?

Die Datenübermittlung erfolgt in der SSL-geschützten Verbindung zwischen Server und App. Das Abfangen von User-Responses aus der Anwendung heraus, wie von Ihnen beschrieben, stellt kein realistisches Bedrohungsszenario dar. So ist, wie in Ihrem Blog dargestellt, zunächst ein physischer Zugriff auf das Mobiltelefon, die beschriebene Hard- und Software und vor allem die Kenntnis von Zugangscode für das Mobiltelefon, Kenntnis und Eingabe des Passwortes für die App und der Online-PIN des Kunden erforderlich, um die Datenabfrage über den betroffenen Dienst initiieren und „abhören“ zu können.

Um es deutlich klarzustellen: Das von Ihnen im Blog beschriebene Vorgehen  stellt aus unserer Sicht KEINEN realistischen Angriff auf die TLS-Kommunikation dar, weil hier ein aktives „Mitarbeiten“ des Users erforderlich ist. Es ist keinesfalls möglich, einfach über jedes beliebige zwischengeschaltete System den Klartext mitzulesen (war ja bspw.eine Frage eines Kommentares in Ihrem Blog).

Bezüglich der TÜV Prüfung durch den TÜV Saarland:
Im Zertifikat heisst es:
„Das Zertifikat gilt ausschließlich für das geprüfte Verfahren zum Zeitpunkt der Prüfung und berechtigt den Inhaber unübertragbar, das abgebildete Prüfzeichen werblich im Gültigkeitszeitraum zu nutzen“

Die Prüfung gilt für die Version 2.3.2 vom 14.01.2014 der Sparkasse+ App.
– Wurden in der Version 2.3.2 die beiden erwähnten
Datenübertragungen vorgenommen?

Ja, die Datenübertragungen sind bereits seit längerem implementiert.

* Wenn ja, warum wurde dies vom TÜV nicht moniert?

Das können wir leider nicht beantworten, da es nicht moniert wurde. Vorstellbar ist, dass die Tests in der Software nur mit Sparkassen-Konten, deren Institute nicht an der Pilotierung des SFPA teilnahmen, durchgeführt wurden. Wir können hier auch nur Vermutungen anstellen, werden dies aber bei der nächsten Prüfung aktiv einbringen.

– Warum hat der TÜV nicht bemängelt, dass die App keine
Datenschutzerklärung enthält? Laut TÜV
(http://zertifikatsabfrage.tuev-saar.net/mediapool/441/zpg_app_v2_0.pdf)
werden die Vorgaben des BDSG überprüft.

Das können wir leider nicht beantworten, da es nicht moniert wurde. Jedoch haben wir Ihre Anregungen bereits aufgegriffen (s.o.) und werden den TÜV bei der nächsten Prüfung auch aktiv auf diese Änderungen hinweisen.

Weiterhin möchte ich Sie bitten mir die Verfahrensbeschreibung für die Apps Sparkasse, Sparkasse+ und StarMoney für iOS zukommen zu lassen.

Öffentliches Verfahrensverzeichnis für Jedermann gem. § 4e BDSG

Mein Fazit:

Zuerst einmal bin ich positiv überrascht, dass alle meine Fragen im Detail beantwortet wurden. Das ändert zwar erstmal nichts an der Tatsache, das dieses Thema überhaupt erst durch meine Nachfrage behandelt wurde. Dennoch begrüße ich natürlich, dass sich die Star Finanz jetzt aktiv der Sache angenommen hat.

Die nächste Version der Sparkasse+ App wird die Übertragung der Kontoinformationen von Fremdbanken nicht mehr enthalten, eine Datenschutzerklärung für die App Stores ist in Vorbereitung. Dies werde ich natürlich bei Verfügbarkeit des Updates auch überprüfen.

Dass die „Testphase eines neuen Verfahrens für eine kleine Anzahl Sparkassen“ dazu führt, dass von diesem Test alle Sparkassen-Kunden betroffen sind, ist sicherlich nicht der Sinn einer Testphase. Es wäre wünschenswert, wenn die App dieses Verfahren zukünftig nur Kunden zur Verfügung stellt, die es auch nutzen können. Damit würden nicht unnötig Zugangsdaten an den Server gesendet.

Eine interessante Rolle spielt im ganzen Kontext die Prüfung durch den TÜV Saarland. Sicherlich ist eine solche Prüfung, gerade im Kontext einer Banking App, auch mit Kosten verbunden. In der  Infobroschüre „Geprüfte App“ werden u.a. folgende wesentliche Prüfungspunkte erwähnt:

  • Informationspflicht, allg. Datenschutzanforderungen
  • Sicherheit vor Ausspähung sensibler Daten
  • Sicherheitsbewertung des Datentransfers per GSM, WLAN, Bluetooth etc.

Erstaunlich ist für mich, dass das Fehlen einer Datenschutzerklärung für die App offensichtlich nicht auffällt, oder die App nicht mit Konten anderer Banken getestet wurde.

Als Abschluss die Zusammenfassung aus der Infobroschüre „Geprüfte App“:

Mit unseren Prüfzeichen sticht Ihre App aus der Masse hervor.
Das speziell designte TÜV-Prüfzeichen bietet bereits bei der Auswahl eine sichtbare und klare Abgrenzung im hartumkämpften App-Markt. Das bekannte und akzeptiere TÜV-Prüfzeichen schafft zusätzliches Vertrauen der Anwender in die App. Dieses Vertrauen erhöht die Vertriebschancen der „Geprüften App“.

Dem kann ich nichts mehr hinzufügen.

Sparkasse+ App und sensible Daten: Erste Antworten von der Finanz Informatik

Standard

Um was geht es?

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.

Details dazu im Ursprungsartikel.

Im Dialog mit der Finanz Informatik

Ein freundlicher Mitarbeiter der Finanz Informatik, hat mich heute persönlich kontaktiert:

Hallo MSA@securityhandle,

Sie haben über den Twitter-Account der Sparkassen einige Fragen gestellt und von meinen Kollegen auf dem Wege Antworten erhalten.Vorab – um zu erklären, warum Sie nun von einem Finanz Informatik-Mitarbeiter kontaktiert werden:

Die Finanz Informatik ist der IT-Dienstleister für die Sparkassen-Finanzgruppe und entwickelt und betreibt für die Sparkassen bspw. auch das Online-Banking und die Schnittstellen für Online-Banking-Software. Die Apps Sparkasse und Sparkasse+ werden von unserer Tochtergesellschaft Star Finanz für uns entwickelt und über die App-Stores bereitgestellt.

Da der Dialog via Twitter ja doch stark verkürzt stattfindet, nutze ich mal für die Kontaktaufnahme ein anderes Medium. Im Anhang findet sich ein Statement in „ungekürzter Formulierung“ und ich möchte Ihnen anbieten, gerne im persönlichen Gespräch ergänzende Erläuterungen oder weitere Fragen mit Ihnen auszutauschen.

Ich würde mich freuen, wenn Sie sich via eMail oder gerne auch telefonisch bei mir melden.

Hier die erwähnte Stellungnahme:

Sicherheit Mobile-Apps der Sparkassen Stellungnahme

03.06.2014

Die Mobile-Apps „Sparkasse“ und „Sparkasse+“ sind in den aktuellen Versionen sicher. Dies gewährleisten regelmäßige interne Tests und Untersuchungen. Darüber hinaus werden die Apps durch unabhängige Experten des TÜV Saarland geprüft und entsprechend bewertet. Die Sparkassen-Apps setzen auf standardisierte Protokolle bzw. wie in der Kreditwirtschaft gebräuchliche Verfahren wie FinTS und kommunizieren ausschließlich über verschlüsselte Verbindungen. Zudem werden alle Daten in der App verschlüsselt auf dem Gerät des Kunden abgelegt und mit einem von ihm individuell festgelegten Passwort geschützt.

Erst bei einer Kontoaktualisierung werden die Daten des Nutzers zur Identifikation an die jeweiligen Banksysteme (Sparkasse, Volksbank etc.) übertragen. Darüber hinaus erfolgt zudem eine Übertragung der Daten auf einen weiteren Server im Bankenrechenzentrum der Sparkassen, um dem Kunden individuelle Zusatzfunktionen sowie Kundeninformationen der einzelnen Institute anbieten zu können.

Die Daten werden ausschließlich zur Verarbeitung des Vorgangs verwendet und anschließend automatisch gelöscht; eine dauerhafte Speicherung oder eine weitere Verwendung erfolgt nicht. Die eingesetzte Verschlüsselung, sowohl bei der Übertragung als auch bei der Verarbeitung der Daten auf dem Bankenserver, ist sicher und entspricht höchstmöglichen Sicherheitsstandards. Um dieses hohe Sicherheitsniveau dauerhaft gewährleisten zu können, werden ständig entsprechende Anpassungen bzw. Erweiterungen vorgenommen.

 

Der Angebot mit der Finanz Informatik in einen Dialog zu treten bin ich gerne in einer E-Mail nachgekommen:

Sehr geehrte(r) …..,

danke für Ihre Mail und die Stellungnahme.

Ich erlaube mir einige Fragen zu stellen, in der Hoffnung, dass Sie diese konkret beantworten können und werden.

Bezüglich der ungefragten Übertragung meiner comdirect Benutzerkennung, Konto- und Kreditkartennummern an einen Server der StarFinanz:

  • Welchem konkreten Zweck dient diese Übertragung?
  • Sollte der theoretische Fall eintreten, dass mir die Sparkasse ein Angebot meiner comdirect Bank unterbreiten möchte, reicht dann nicht die Bankleitzahl?
  • Mit den übertragenen Daten lässt sich ein Profil (Wieviele Konten, wieviele Kreditkarten bei welchen Banken) erstellen. Wird oder wurde dies, wenn auch nur kurzfristig zur Datenverarbeitung, getan?
  • Warum fehlt in der Sparkasse+ App die Option diese Übertragung zu deaktivieren?
  • Zur Sparkasse+ App gibt es nur Lizenzbestimmungen. Eine gesetzlich vorgeschriebene Datenschutzerklärung kann ich in der App nicht finden. Wo finde ich die Datenschutzerklärung und warum ist in den Lizenzbestimmungen keinerlei Hinweis auf diese Datenübertragung enthalten.

Bezüglich der Übertragung der kompletten Sparkassen Benutzerdaten inkl. PIN an einen Server der StarFinanz:

  • Wie konnte es dazu kommen, dass ein produktiver Server in einem sicheren Bankrechenzentrum mit einer Tomcat-Standardseite, die noch dazu den (veralteten, potentiell sicherheitskritischen) Versionsstand ausweist, ans Netz geht?
  • Welche exakte Funktion wird über diesen Server abgewickelt?
  • Da die Datenübertragung nicht über HBCI stattfindet, und vermutlich eine Eigenentwicklung ist, wieso wird die PIN dann nicht gehashed oder verschlüsselt übertragen?

Bezüglich der TÜV Prüfung durch den TÜV Saarland:

Im Zertifikat heisst es:

„Das Zertifikat gilt ausschließlich für das geprüfte Verfahren zum Zeitpunkt der Prüfung und berechtigt den Inhaber unübertragbar, das abgebildete Prüfzeichen werblich im Gültigkeitszeitraum zu nutzen“

Die Prüfung gilt für die Version 2.3.2 vom 14.01.2014 der Sparkasse+ App.

  • Wurden in in der Version 2.3.2 die beiden erwähnten Datenübertragungen vorgenommen?
  • Wenn ja, warum wurde dies vom TÜV nicht moniert?
  • Wenn nein, wurde diese Änderung dem TÜV mitgeteilt? Es handelt sich hier schließlich um eine wesentliche Änderung im Prüfgegenstand.
  • Warum hat der TÜV nicht bemängelt, dass die App keine Datenschutzerklärung enthält? Laut TÜV (http://zertifikatsabfrage.tuev-saar.net/mediapool/441/zpg_app_v2_0.pdf) werden die Vorgaben des BDSG überprüft.

Weiterhin möchte ich Sie bitten mir die Verfahrensbeschreibung für die Apps Sparkasse, Sparkasse+ und StarMoney für iOS zukommen zu lassen.

Mit freundlichen Grüßen

MSA

Kurze Zeit später habe ich von der Finanz Informatik die Zusage bekommen, das meine Fragen noch in dieser Woche beantwortet werden:

Sehr geehrte(r) MSA,

Ihre Fragen sind in Ordnung und gerne möchte ich Ihre Hoffnung erfüllen, diese konkret zu beantworten.

Ich hoffe, es ist ok für Sie, wenn wir das diese Woche noch erledigen – da ich zu einem Punkt noch mal nachfassen muss und uns beiden Scheibchen-Antworten ersparen möchte.

Datenübertragung von sensiblen Daten: Sparkasse+ vs. StarMoney App

Standard

Ich habe mir die Mühe gemacht, auch nochmal die StarMoney App von der Starfinanz anzusehen. Interessanterweise werden dort nur die Bankleitzahlen der verwendeten Banken übertragen, aber keine weiteren Daten:

StarMoney überträgt weniger Daten

In den Einstellungen der StarMoney App findet sich eine Option „Indiviualisierte Angebote“:

StarFinanz App Option Individualisierte AngeboteAktiviert man diese Option bekommt man folgenden Hinweis:

StarMoney Warnung Individualisierte AngeboteSobald diese Option aktiviert ist, verhält sich die StarMoney App exakt genauso wie die Sparkasse+ App. Es werden dann sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz übertragen.

Ich möchte jetzt nicht spekulieren warum diese Option in der Sparkasse+ App fehlt, die Antwort darauf kann nur die Sparkasse bzw. StarFinanz selbst geben.

Jeder der die StarMoney App nutzt sollte auf jeden Fall überprüfen, wie die Einstellungen in seiner App gesetzt sind, um eine Übertragung seiner Kontonummern, Kreditkartennummern samt Benutzerkennung zu unterbinden.

Auch wenn die Option offensichtlich standardmäßig deaktiviert ist: Es stellt sich die Frage, welche Angebote möchte mir die StarFinanz für mein comdirect Konto unterbreiten? Was ist der Zweck dieser Datenübertragung?

Die Übertragung der kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz ist in der StarMoney App übrigens auch vorhanden. Hier gibt es keinen Unterschied zur Sparkasse+ App. Eine Option um dies zu deaktivieren habe ich bisher nicht entdecken können. Falls jemand das gelingt, bitte eine Mail an mich oder per Twitter. Danke.

Eine Antwort der Sparkasse bzw. StarFinanz steht übrigens noch aus.

 

 

Sparkasse+ App überträgt ungefragt sensible Daten

Standard

Auf das rege Interesse bei Twitter hin, hier eine aktuelle Zusammenfassung.

Noch ein kurzer Hinweis an alle Zweifler und Verschwörungstheoretiker: Ihr könnt das alles selber nachvollziehen, ich bitte sogar ausdrücklich darum🙂. Anleitungen dazu finden sich in diesem Post.

Kurzversion

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
  • hat laut App-Beschreibung TÜV geprüfte Sicherheit:

Sparkasse+ kommuniziert über direkte, verschlüsselte Schnittstellen mit Ihrem Kreditinstitut und sorgt für einen sicheren Datentransfer nach den deutschen Vorgaben zum Online-Banking. Alle Daten werden verschlüsselt gespeichert. Der Zugriff auf die App ist durch ein von Ihnen ausgewähltes Passwort geschützt. Dank der Autolock-Funktion wird die App nach drei Minuten ohne Interaktion gesperrt. Ihre Finanzen sind damit bei Verlust Ihres iPhones maximal gesichert. Der TÜV bestätigt diese höchsten Sicherheitsstandards. 

Langversion

Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.

Darf ich freundlich fragen warum dieser #Datenhunger? Danke. #Sicherheit

Sparkasse+ App

Knapp 6 Stunden später wurde mir in einer ersten Stellungnahme der Sparkasse mitgeteilt, dass diese Fragen an die StarFinanz weitergeleitet werden.

Erste Antwort von der Sparkasse

Kurz darauf habe ich von einem Sparkassen Kunden ein Netzwerkprotokoll erhalten. Bei jeder Konten-Aktualisierung werden die kompletten Zugangsdaten inklusive PIN seiner Bank an einen weiteren Server der StarFinanz übertragen. Beim Aufruf der Serveradresse https://sfpa.starfinanz.de, an die diese Daten übertragen werden, erscheint die Standard-Installations Seite von Tomcat. Dies ist nicht gerade vertrauenserweckend, noch dazu ist die dort ausgewiesene Version 7.0.33 über ein Jahr alt und es bestehen diverse Sicherheitslücken. Die naheliegende Frage nach dem Warum habe ich dann wieder per Twitter an die Sparkasse weitergereicht.

Gerade eine Mail von einem Sparkassenkunden bekommen, leider wirft das eine neue Frage auf

Übertragung der kompletten Logindaten

Mehr als 24 Stunden später kam von der Sparkasse der Hinweis, dass vor Montag mit keiner Antwort zu rechnen ist.

Zweite Antwort der Sparkasse