Sparkasse+ App und sensible Daten: Erste Antworten von der Finanz Informatik

Standard

Um was geht es?

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.

Details dazu im Ursprungsartikel.

Im Dialog mit der Finanz Informatik

Ein freundlicher Mitarbeiter der Finanz Informatik, hat mich heute persönlich kontaktiert:

Hallo MSA@securityhandle,

Sie haben über den Twitter-Account der Sparkassen einige Fragen gestellt und von meinen Kollegen auf dem Wege Antworten erhalten.Vorab – um zu erklären, warum Sie nun von einem Finanz Informatik-Mitarbeiter kontaktiert werden:

Die Finanz Informatik ist der IT-Dienstleister für die Sparkassen-Finanzgruppe und entwickelt und betreibt für die Sparkassen bspw. auch das Online-Banking und die Schnittstellen für Online-Banking-Software. Die Apps Sparkasse und Sparkasse+ werden von unserer Tochtergesellschaft Star Finanz für uns entwickelt und über die App-Stores bereitgestellt.

Da der Dialog via Twitter ja doch stark verkürzt stattfindet, nutze ich mal für die Kontaktaufnahme ein anderes Medium. Im Anhang findet sich ein Statement in „ungekürzter Formulierung“ und ich möchte Ihnen anbieten, gerne im persönlichen Gespräch ergänzende Erläuterungen oder weitere Fragen mit Ihnen auszutauschen.

Ich würde mich freuen, wenn Sie sich via eMail oder gerne auch telefonisch bei mir melden.

Hier die erwähnte Stellungnahme:

Sicherheit Mobile-Apps der Sparkassen Stellungnahme

03.06.2014

Die Mobile-Apps „Sparkasse“ und „Sparkasse+“ sind in den aktuellen Versionen sicher. Dies gewährleisten regelmäßige interne Tests und Untersuchungen. Darüber hinaus werden die Apps durch unabhängige Experten des TÜV Saarland geprüft und entsprechend bewertet. Die Sparkassen-Apps setzen auf standardisierte Protokolle bzw. wie in der Kreditwirtschaft gebräuchliche Verfahren wie FinTS und kommunizieren ausschließlich über verschlüsselte Verbindungen. Zudem werden alle Daten in der App verschlüsselt auf dem Gerät des Kunden abgelegt und mit einem von ihm individuell festgelegten Passwort geschützt.

Erst bei einer Kontoaktualisierung werden die Daten des Nutzers zur Identifikation an die jeweiligen Banksysteme (Sparkasse, Volksbank etc.) übertragen. Darüber hinaus erfolgt zudem eine Übertragung der Daten auf einen weiteren Server im Bankenrechenzentrum der Sparkassen, um dem Kunden individuelle Zusatzfunktionen sowie Kundeninformationen der einzelnen Institute anbieten zu können.

Die Daten werden ausschließlich zur Verarbeitung des Vorgangs verwendet und anschließend automatisch gelöscht; eine dauerhafte Speicherung oder eine weitere Verwendung erfolgt nicht. Die eingesetzte Verschlüsselung, sowohl bei der Übertragung als auch bei der Verarbeitung der Daten auf dem Bankenserver, ist sicher und entspricht höchstmöglichen Sicherheitsstandards. Um dieses hohe Sicherheitsniveau dauerhaft gewährleisten zu können, werden ständig entsprechende Anpassungen bzw. Erweiterungen vorgenommen.

 

Der Angebot mit der Finanz Informatik in einen Dialog zu treten bin ich gerne in einer E-Mail nachgekommen:

Sehr geehrte(r) …..,

danke für Ihre Mail und die Stellungnahme.

Ich erlaube mir einige Fragen zu stellen, in der Hoffnung, dass Sie diese konkret beantworten können und werden.

Bezüglich der ungefragten Übertragung meiner comdirect Benutzerkennung, Konto- und Kreditkartennummern an einen Server der StarFinanz:

  • Welchem konkreten Zweck dient diese Übertragung?
  • Sollte der theoretische Fall eintreten, dass mir die Sparkasse ein Angebot meiner comdirect Bank unterbreiten möchte, reicht dann nicht die Bankleitzahl?
  • Mit den übertragenen Daten lässt sich ein Profil (Wieviele Konten, wieviele Kreditkarten bei welchen Banken) erstellen. Wird oder wurde dies, wenn auch nur kurzfristig zur Datenverarbeitung, getan?
  • Warum fehlt in der Sparkasse+ App die Option diese Übertragung zu deaktivieren?
  • Zur Sparkasse+ App gibt es nur Lizenzbestimmungen. Eine gesetzlich vorgeschriebene Datenschutzerklärung kann ich in der App nicht finden. Wo finde ich die Datenschutzerklärung und warum ist in den Lizenzbestimmungen keinerlei Hinweis auf diese Datenübertragung enthalten.

Bezüglich der Übertragung der kompletten Sparkassen Benutzerdaten inkl. PIN an einen Server der StarFinanz:

  • Wie konnte es dazu kommen, dass ein produktiver Server in einem sicheren Bankrechenzentrum mit einer Tomcat-Standardseite, die noch dazu den (veralteten, potentiell sicherheitskritischen) Versionsstand ausweist, ans Netz geht?
  • Welche exakte Funktion wird über diesen Server abgewickelt?
  • Da die Datenübertragung nicht über HBCI stattfindet, und vermutlich eine Eigenentwicklung ist, wieso wird die PIN dann nicht gehashed oder verschlüsselt übertragen?

Bezüglich der TÜV Prüfung durch den TÜV Saarland:

Im Zertifikat heisst es:

„Das Zertifikat gilt ausschließlich für das geprüfte Verfahren zum Zeitpunkt der Prüfung und berechtigt den Inhaber unübertragbar, das abgebildete Prüfzeichen werblich im Gültigkeitszeitraum zu nutzen“

Die Prüfung gilt für die Version 2.3.2 vom 14.01.2014 der Sparkasse+ App.

  • Wurden in in der Version 2.3.2 die beiden erwähnten Datenübertragungen vorgenommen?
  • Wenn ja, warum wurde dies vom TÜV nicht moniert?
  • Wenn nein, wurde diese Änderung dem TÜV mitgeteilt? Es handelt sich hier schließlich um eine wesentliche Änderung im Prüfgegenstand.
  • Warum hat der TÜV nicht bemängelt, dass die App keine Datenschutzerklärung enthält? Laut TÜV (http://zertifikatsabfrage.tuev-saar.net/mediapool/441/zpg_app_v2_0.pdf) werden die Vorgaben des BDSG überprüft.

Weiterhin möchte ich Sie bitten mir die Verfahrensbeschreibung für die Apps Sparkasse, Sparkasse+ und StarMoney für iOS zukommen zu lassen.

Mit freundlichen Grüßen

MSA

Kurze Zeit später habe ich von der Finanz Informatik die Zusage bekommen, das meine Fragen noch in dieser Woche beantwortet werden:

Sehr geehrte(r) MSA,

Ihre Fragen sind in Ordnung und gerne möchte ich Ihre Hoffnung erfüllen, diese konkret zu beantworten.

Ich hoffe, es ist ok für Sie, wenn wir das diese Woche noch erledigen – da ich zu einem Punkt noch mal nachfassen muss und uns beiden Scheibchen-Antworten ersparen möchte.

Advertisements

2 Gedanken zu “Sparkasse+ App und sensible Daten: Erste Antworten von der Finanz Informatik

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s