Sparkasse+ App und sensible Daten: Alle Antworten

Standard

Meine Fragen, die ich der Star Finanz im letzten Beitrag gestellt habe, wurden mir bereits einen Tag später beantwortet. Für alle die sich nicht die Mühe machen wollen alles zu lesen, was sich meiner Meinung nach sicher lohnt, geht es hier zum Fazit.

Sehr geehrte(r) MSA,

wie vereinbart, erhalten Sie nachfolgend die Antworten auf die von Ihnen gestellten Fragen.
Wir sind dankbar für Ihre Hinweise und haben Optimierungspunkte identifiziert, die sich bereits in der Umsetzung befinden. Allerdings hoffen wir auch, mit den Erläuterungen einige kritisierte Punkte klarstellen zu können.

Zögern Sie nicht, bei Verständnisfragen nachzufassen. Den offenen Dialog und die Gelegenheit zur Detaillierung begrüßen wir ausdrücklich, da wir damit sicherlich auch die Veröffentlichung von gekürzten oder missverständlichen Beiträgen reduzieren können. Gerne können Sie die Inhalte dieser Mail in Ihrem Blog posten.

Bezüglich der ungefragten Übertragung meiner comdirect Benutzerkennung, Konto- und Kreditkartennummern an einen Server der StarFinanz:

– Welchem konkreten Zweck dient diese Übertragung?

Neben der reinen Zahlungsverkehrsabwicklung (Umsatzabfragen, Überweisungen etc.) stehen den Nutzern unserer Apps noch eine Reihe weiterer Funktionen zur Verfügung.
Die Steuerung dieser Dienste sowie die App-Entwicklung und Bereitstellung erfolgt durch unser 100%-iges Tochterunternehmen Star Finanz GmbH im Auftrag der Sparkassen bzw. Finanz Informatik.

So werden die nicht-personalisierten Benutzer-Informationen bspw. dazu genutzt, um die App auf die jeweilige Sparkasse zu personalisieren, d.h. den Namen der „Haus“-Sparkasse des Kunden anzuzeigen. Wenn der Kunde keine Sparkassen-Bankverbindung eingerichtet hat, bleibt das Default-Branding (App-Name) erhalten.

Zudem wird geprüft, welche individuellen Zusatzfunktionen der einzelnen Institute in der App dargestellt werden sollen. Außerdem wird geprüft, ob für diesen Anwender personenbezogene Informationen seiner Bank hinterlegt wurden. Hierzu werden neben der BLZ auch die Benutzerkennung und die Kontonummern übertragen, um festzustellen, ob eine Kunden- oder Kontospezifische Nachricht für den Kunden bereitgestellt wurde. Hierbei handelt es sich um Institutsnachrichten in Form von Text-Mitteilungen und Bannern (bspw. Hinweise zu geplanten Wartungsarbeiten und damit verbundene kurzzeitige Nichtverfügbarkeit des Online-Bankings oder wie jüngst allgemeine Hinweise zur SEPA-Umstellung). Wenn das der Fall ist, werden diese vom Server an die App übertragen und lokal im gesicherten Umfeld der App abgelegt und angezeigt. Dieser Informations-Service wird von unserem Tochterunternehmen Star Finanz betrieben und auch von anderen Banken (auch Banken außerhalb der Sparkassenorganisation) zur Auslieferung von Kundeninformationen genutzt, sofern der Kunde ein Produkt der Star Finanz nutzt. Da es sich um eine multibankenfähige App handelt, sollen diese Informationen von der Haus-Bank des Kunden auch in den Apps (u.a. Sparkasse+) für den Kunden erreichbar und abrufbar sein. Der dazugehörige Server-Dienst wird neutral unter dem Namen der Star Finanz betrieben. Die Sparkassen haben zu keiner Zeit Zugriff auf die Daten von Fremdbanken.

Die Anwenderdaten (BLZ, Benutzerkennung und Kontonummern) werden ausschließlich zur Verarbeitung dieses Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung und weitere Verwendung erfolgt nicht.  Die Bezeichnung „Datenhunger“ ist deshalb sicherlich nicht angemessen.

– Sollte der theoretische Fall eintreten, dass mir die Sparkasse ein Angebot meiner comdirect Bank unterbreiten möchte, reicht dann nicht die Bankleitzahl?

Ja, die Bankleitzahl reicht aus, wenn es sich um allgemeine Informationen handelt.  Es ist dann auch nicht die Sparkasse, die diese Information unterbreitet, sondern eine Mitteilung der Bank über das Medium App. Ein realistischer Anwendungsfall für die Übermittlung von allgemeinen Informationen der Fremdbank ist bspw. „Der Server Ihrer xy-bank ist am xx.xx.2014 in der Zeit von yy bis zz aufgrund von Wartungsarbeiten nicht erreichbar“. Sofern die Bank jedoch gezielt für Sie als Kunden „MAS“ oder als Kontoinhaber des Kontos „123“ eine Information/ein Angebot unterbreiten möchte, wird mehr als die Bankleitzahl benötigt.

Diese Daten (BLZ, Benutzerkennung und Kontonummern) werden ausschließlich zur Verarbeitung des Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung und weitere Verwendung erfolgt nicht.

– Mit den übertragenen Daten lässt sich ein Profil (Wieviele Konten, wieviele Kreditkarten bei welchen Banken) erstellen. Wird oder wurde dies, wenn auch nur kurzfristig zur Datenverarbeitung, getan?

Nein, die Benutzerdaten  (BLZ, Benutzerkennung und Kontonummern) wurden und werden ausschließlich zur Laufzeit für die Verarbeitung des Vorgangs verwendet und anschließend sofort automatisch gelöscht; eine dauerhafte Speicherung oder gar weitere Verwendung oder Weitergabe an Sparkassen oder andere Parteien erfolgte und erfolgt nicht.  

– Warum fehlt in der Sparkasse+ App die Option diese Übertragung zu deaktivieren?

Bei der App Sparkasse+ wurde die Wahlmöglichkeit zur Deaktivierung der Anfrage nach Informationen in der App nicht gegeben. Die entsprechende Einwilligung des (Sparkassen)-Kunden hinsichtlich der Übermittlung von Nachrichten/Informationen wurde auf die Sparkassen-Institutsebene verlagert, da die Kunden die entsprechende Einverständniserklärung bzw. den Wunsch auf Verzicht individuell mit ihrer jeweiligen Sparkasse für alle Kanäle (und somit auch für die Apps) vereinbart haben.
Die App „Sparkasse+“ kann jedoch auch von Nicht-Sparkassen-Kunden genutzt werden; dort liegt dann natürlich keine entsprechende Einwilligung des Kunden vor; wie Sie korrekt dargestellt haben, wurde dieser Punkt seinerzeit nicht hinreichend beleuchtet. Diese Datenübertragung wird aktuell in einem Update der App in der Form angepasst, dass für diesen Vorgang bei (Nicht-Sparkassenkunden) künftig nur noch die BLZ allein (ohne Benutzerkennung und Kontonummern) gesendet wird. Zudem prüfen wir, ob wir die Funktion zur Auswahl der Übermittlung optional (analog der StarMoney App) wieder in der App anbieten.

Wichtig an dieser Stelle nochmal, da auf Basis Ihres Blogartikels ja bereits Verweise mit missverständlichen Aussagen entstanden sind: Die in diesem Zusammenhang übermittelten Daten (Benutzerkennung und Kontonummer) beinhalteten nicht die Online-Banking-PIN, wurden stets SSL-verschlüsselt übertragen und zur Laufzeit ausschließlich für die Prüfung des Vorliegens von Kundeninformationen verwendet und nicht gespeichert oder weiterverwertet.

– Zur Sparkasse+ App gibt es nur Lizenzbestimmungen. Eine gesetzlich vorgeschriebene Datenschutzerklärung kann ich in der App nicht finden. Wo finde ich die Datenschutzerklärung und warum ist in den Lizenzbestimmungen keinerlei Hinweis auf diese Datenübertragung enthalten.

Die Datenschutzerklärung der Star Finanz finden Sie unter der folgenden URL: http://www.starfinanz.de/index.php?id=datenschutz
Wir haben zudem Ihre Anregung aufgegriffen und es ist bei der Star Finanz eine spezifische Datenschutzerklärung für die App Stores bereits in Arbeit.

Bezüglich der Übertragung der kompletten Sparkassen Benutzerdaten inkl. PIN an einen Server der Star Finanz:
– Wie konnte es dazu kommen, dass ein produktiver Server in einem
sicheren Bankrechenzentrum mit einer Tomcat-Standardseite, die noch dazu den (veralteten, potentiell sicherheitskritischen) Versionsstand ausweist, ans Netz geht?

Hierbei handelt es sich um ein zweites, separates Thema, welches mit dem ersten, o.g. Fall nichts zu tun hat. Auch hier möchte ich gern den Eindruck von fehlender Sinnhaftigkeit (Datenhunger) und Angreifbarkeit/Sicherheitslücken ausräumen.

Der angesprochene Server (sfpa.starfinanz.de) wird von der App angesprochen, um ausgewählte, nicht via FinTS (hierüber läuft der sonstige Austausch zwischen App und Banksystem) verfügbare bankfachliche Funktionen in der App bereitzustellen.

Dieses Verfahren wurde mit einer kleinen Anzahl von Sparkassen für die Anzeige und den Abruf von Nachrichten im elektronischen Postfach des Nutzers sowie dessen Vorlagen verprobt. Und selbstverständlich erfordert dies die Authentifikation des Onlinebanking-Kunden mittels Benutzerkennung (bei Sparkassen „Anmeldenamen“) und PIN.

Die Erkenntnisse aus dieser, in diesem Monat auslaufenden, Testphase werden in die Weiterentwicklung und den Ausbau für die flächendeckende Nutzung einfließen. Der Serverdienst sfpa.starfinanz.de wird mit Ende der Testphase abgeschaltet.

Ich vermute die Irritation ist auch entstanden, da hier nicht deutlich wurde, dass die Bereitstellung dieses Abwicklungssystems über eine Domain der Star Finanz GmbH ausschließlich zur Kommunikation zwischen App und Onlinebanking-System genutzt wurde. Eine Aktualisierung der Tomcat-Version war für den Pilotbetrieb aus unserer Sicht nicht erforderlich, da keine für diesen Dienst relevanten Schwachstellen bekannt sind.

– Welche exakte Funktion wird über diesen Server abgewickelt?

Über den Server werden die Zusatzfunktionen „Postfachnachrichten abholen“ und „Vorlagen abholen“ in einem Pilotbetrieb bei ausgewählten Sparkassen verprobt.

– Da die Datenübertragung nicht über HBCI stattfindet, und vermutlich eine Eigenentwicklung ist, wieso wird die PIN dann nicht gehashed oder verschlüsselt übertragen?

Die Datenübermittlung erfolgt in der SSL-geschützten Verbindung zwischen Server und App. Das Abfangen von User-Responses aus der Anwendung heraus, wie von Ihnen beschrieben, stellt kein realistisches Bedrohungsszenario dar. So ist, wie in Ihrem Blog dargestellt, zunächst ein physischer Zugriff auf das Mobiltelefon, die beschriebene Hard- und Software und vor allem die Kenntnis von Zugangscode für das Mobiltelefon, Kenntnis und Eingabe des Passwortes für die App und der Online-PIN des Kunden erforderlich, um die Datenabfrage über den betroffenen Dienst initiieren und „abhören“ zu können.

Um es deutlich klarzustellen: Das von Ihnen im Blog beschriebene Vorgehen  stellt aus unserer Sicht KEINEN realistischen Angriff auf die TLS-Kommunikation dar, weil hier ein aktives „Mitarbeiten“ des Users erforderlich ist. Es ist keinesfalls möglich, einfach über jedes beliebige zwischengeschaltete System den Klartext mitzulesen (war ja bspw.eine Frage eines Kommentares in Ihrem Blog).

Bezüglich der TÜV Prüfung durch den TÜV Saarland:
Im Zertifikat heisst es:
„Das Zertifikat gilt ausschließlich für das geprüfte Verfahren zum Zeitpunkt der Prüfung und berechtigt den Inhaber unübertragbar, das abgebildete Prüfzeichen werblich im Gültigkeitszeitraum zu nutzen“

Die Prüfung gilt für die Version 2.3.2 vom 14.01.2014 der Sparkasse+ App.
– Wurden in der Version 2.3.2 die beiden erwähnten
Datenübertragungen vorgenommen?

Ja, die Datenübertragungen sind bereits seit längerem implementiert.

* Wenn ja, warum wurde dies vom TÜV nicht moniert?

Das können wir leider nicht beantworten, da es nicht moniert wurde. Vorstellbar ist, dass die Tests in der Software nur mit Sparkassen-Konten, deren Institute nicht an der Pilotierung des SFPA teilnahmen, durchgeführt wurden. Wir können hier auch nur Vermutungen anstellen, werden dies aber bei der nächsten Prüfung aktiv einbringen.

– Warum hat der TÜV nicht bemängelt, dass die App keine
Datenschutzerklärung enthält? Laut TÜV
(http://zertifikatsabfrage.tuev-saar.net/mediapool/441/zpg_app_v2_0.pdf)
werden die Vorgaben des BDSG überprüft.

Das können wir leider nicht beantworten, da es nicht moniert wurde. Jedoch haben wir Ihre Anregungen bereits aufgegriffen (s.o.) und werden den TÜV bei der nächsten Prüfung auch aktiv auf diese Änderungen hinweisen.

Weiterhin möchte ich Sie bitten mir die Verfahrensbeschreibung für die Apps Sparkasse, Sparkasse+ und StarMoney für iOS zukommen zu lassen.

Öffentliches Verfahrensverzeichnis für Jedermann gem. § 4e BDSG

Mein Fazit:

Zuerst einmal bin ich positiv überrascht, dass alle meine Fragen im Detail beantwortet wurden. Das ändert zwar erstmal nichts an der Tatsache, das dieses Thema überhaupt erst durch meine Nachfrage behandelt wurde. Dennoch begrüße ich natürlich, dass sich die Star Finanz jetzt aktiv der Sache angenommen hat.

Die nächste Version der Sparkasse+ App wird die Übertragung der Kontoinformationen von Fremdbanken nicht mehr enthalten, eine Datenschutzerklärung für die App Stores ist in Vorbereitung. Dies werde ich natürlich bei Verfügbarkeit des Updates auch überprüfen.

Dass die „Testphase eines neuen Verfahrens für eine kleine Anzahl Sparkassen“ dazu führt, dass von diesem Test alle Sparkassen-Kunden betroffen sind, ist sicherlich nicht der Sinn einer Testphase. Es wäre wünschenswert, wenn die App dieses Verfahren zukünftig nur Kunden zur Verfügung stellt, die es auch nutzen können. Damit würden nicht unnötig Zugangsdaten an den Server gesendet.

Eine interessante Rolle spielt im ganzen Kontext die Prüfung durch den TÜV Saarland. Sicherlich ist eine solche Prüfung, gerade im Kontext einer Banking App, auch mit Kosten verbunden. In der  Infobroschüre „Geprüfte App“ werden u.a. folgende wesentliche Prüfungspunkte erwähnt:

  • Informationspflicht, allg. Datenschutzanforderungen
  • Sicherheit vor Ausspähung sensibler Daten
  • Sicherheitsbewertung des Datentransfers per GSM, WLAN, Bluetooth etc.

Erstaunlich ist für mich, dass das Fehlen einer Datenschutzerklärung für die App offensichtlich nicht auffällt, oder die App nicht mit Konten anderer Banken getestet wurde.

Als Abschluss die Zusammenfassung aus der Infobroschüre „Geprüfte App“:

Mit unseren Prüfzeichen sticht Ihre App aus der Masse hervor.
Das speziell designte TÜV-Prüfzeichen bietet bereits bei der Auswahl eine sichtbare und klare Abgrenzung im hartumkämpften App-Markt. Das bekannte und akzeptiere TÜV-Prüfzeichen schafft zusätzliches Vertrauen der Anwender in die App. Dieses Vertrauen erhöht die Vertriebschancen der „Geprüften App“.

Dem kann ich nichts mehr hinzufügen.

Sparkasse+ App und sensible Daten: Erste Antworten von der Finanz Informatik

Standard

Um was geht es?

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.

Details dazu im Ursprungsartikel.

Im Dialog mit der Finanz Informatik

Ein freundlicher Mitarbeiter der Finanz Informatik, hat mich heute persönlich kontaktiert:

Hallo MSA@securityhandle,

Sie haben über den Twitter-Account der Sparkassen einige Fragen gestellt und von meinen Kollegen auf dem Wege Antworten erhalten.Vorab – um zu erklären, warum Sie nun von einem Finanz Informatik-Mitarbeiter kontaktiert werden:

Die Finanz Informatik ist der IT-Dienstleister für die Sparkassen-Finanzgruppe und entwickelt und betreibt für die Sparkassen bspw. auch das Online-Banking und die Schnittstellen für Online-Banking-Software. Die Apps Sparkasse und Sparkasse+ werden von unserer Tochtergesellschaft Star Finanz für uns entwickelt und über die App-Stores bereitgestellt.

Da der Dialog via Twitter ja doch stark verkürzt stattfindet, nutze ich mal für die Kontaktaufnahme ein anderes Medium. Im Anhang findet sich ein Statement in „ungekürzter Formulierung“ und ich möchte Ihnen anbieten, gerne im persönlichen Gespräch ergänzende Erläuterungen oder weitere Fragen mit Ihnen auszutauschen.

Ich würde mich freuen, wenn Sie sich via eMail oder gerne auch telefonisch bei mir melden.

Hier die erwähnte Stellungnahme:

Sicherheit Mobile-Apps der Sparkassen Stellungnahme

03.06.2014

Die Mobile-Apps „Sparkasse“ und „Sparkasse+“ sind in den aktuellen Versionen sicher. Dies gewährleisten regelmäßige interne Tests und Untersuchungen. Darüber hinaus werden die Apps durch unabhängige Experten des TÜV Saarland geprüft und entsprechend bewertet. Die Sparkassen-Apps setzen auf standardisierte Protokolle bzw. wie in der Kreditwirtschaft gebräuchliche Verfahren wie FinTS und kommunizieren ausschließlich über verschlüsselte Verbindungen. Zudem werden alle Daten in der App verschlüsselt auf dem Gerät des Kunden abgelegt und mit einem von ihm individuell festgelegten Passwort geschützt.

Erst bei einer Kontoaktualisierung werden die Daten des Nutzers zur Identifikation an die jeweiligen Banksysteme (Sparkasse, Volksbank etc.) übertragen. Darüber hinaus erfolgt zudem eine Übertragung der Daten auf einen weiteren Server im Bankenrechenzentrum der Sparkassen, um dem Kunden individuelle Zusatzfunktionen sowie Kundeninformationen der einzelnen Institute anbieten zu können.

Die Daten werden ausschließlich zur Verarbeitung des Vorgangs verwendet und anschließend automatisch gelöscht; eine dauerhafte Speicherung oder eine weitere Verwendung erfolgt nicht. Die eingesetzte Verschlüsselung, sowohl bei der Übertragung als auch bei der Verarbeitung der Daten auf dem Bankenserver, ist sicher und entspricht höchstmöglichen Sicherheitsstandards. Um dieses hohe Sicherheitsniveau dauerhaft gewährleisten zu können, werden ständig entsprechende Anpassungen bzw. Erweiterungen vorgenommen.

 

Der Angebot mit der Finanz Informatik in einen Dialog zu treten bin ich gerne in einer E-Mail nachgekommen:

Sehr geehrte(r) …..,

danke für Ihre Mail und die Stellungnahme.

Ich erlaube mir einige Fragen zu stellen, in der Hoffnung, dass Sie diese konkret beantworten können und werden.

Bezüglich der ungefragten Übertragung meiner comdirect Benutzerkennung, Konto- und Kreditkartennummern an einen Server der StarFinanz:

  • Welchem konkreten Zweck dient diese Übertragung?
  • Sollte der theoretische Fall eintreten, dass mir die Sparkasse ein Angebot meiner comdirect Bank unterbreiten möchte, reicht dann nicht die Bankleitzahl?
  • Mit den übertragenen Daten lässt sich ein Profil (Wieviele Konten, wieviele Kreditkarten bei welchen Banken) erstellen. Wird oder wurde dies, wenn auch nur kurzfristig zur Datenverarbeitung, getan?
  • Warum fehlt in der Sparkasse+ App die Option diese Übertragung zu deaktivieren?
  • Zur Sparkasse+ App gibt es nur Lizenzbestimmungen. Eine gesetzlich vorgeschriebene Datenschutzerklärung kann ich in der App nicht finden. Wo finde ich die Datenschutzerklärung und warum ist in den Lizenzbestimmungen keinerlei Hinweis auf diese Datenübertragung enthalten.

Bezüglich der Übertragung der kompletten Sparkassen Benutzerdaten inkl. PIN an einen Server der StarFinanz:

  • Wie konnte es dazu kommen, dass ein produktiver Server in einem sicheren Bankrechenzentrum mit einer Tomcat-Standardseite, die noch dazu den (veralteten, potentiell sicherheitskritischen) Versionsstand ausweist, ans Netz geht?
  • Welche exakte Funktion wird über diesen Server abgewickelt?
  • Da die Datenübertragung nicht über HBCI stattfindet, und vermutlich eine Eigenentwicklung ist, wieso wird die PIN dann nicht gehashed oder verschlüsselt übertragen?

Bezüglich der TÜV Prüfung durch den TÜV Saarland:

Im Zertifikat heisst es:

„Das Zertifikat gilt ausschließlich für das geprüfte Verfahren zum Zeitpunkt der Prüfung und berechtigt den Inhaber unübertragbar, das abgebildete Prüfzeichen werblich im Gültigkeitszeitraum zu nutzen“

Die Prüfung gilt für die Version 2.3.2 vom 14.01.2014 der Sparkasse+ App.

  • Wurden in in der Version 2.3.2 die beiden erwähnten Datenübertragungen vorgenommen?
  • Wenn ja, warum wurde dies vom TÜV nicht moniert?
  • Wenn nein, wurde diese Änderung dem TÜV mitgeteilt? Es handelt sich hier schließlich um eine wesentliche Änderung im Prüfgegenstand.
  • Warum hat der TÜV nicht bemängelt, dass die App keine Datenschutzerklärung enthält? Laut TÜV (http://zertifikatsabfrage.tuev-saar.net/mediapool/441/zpg_app_v2_0.pdf) werden die Vorgaben des BDSG überprüft.

Weiterhin möchte ich Sie bitten mir die Verfahrensbeschreibung für die Apps Sparkasse, Sparkasse+ und StarMoney für iOS zukommen zu lassen.

Mit freundlichen Grüßen

MSA

Kurze Zeit später habe ich von der Finanz Informatik die Zusage bekommen, das meine Fragen noch in dieser Woche beantwortet werden:

Sehr geehrte(r) MSA,

Ihre Fragen sind in Ordnung und gerne möchte ich Ihre Hoffnung erfüllen, diese konkret zu beantworten.

Ich hoffe, es ist ok für Sie, wenn wir das diese Woche noch erledigen – da ich zu einem Punkt noch mal nachfassen muss und uns beiden Scheibchen-Antworten ersparen möchte.

Sparkasse+ App überträgt ungefragt sensible Daten

Standard

Auf das rege Interesse bei Twitter hin, hier eine aktuelle Zusammenfassung.

Noch ein kurzer Hinweis an alle Zweifler und Verschwörungstheoretiker: Ihr könnt das alles selber nachvollziehen, ich bitte sogar ausdrücklich darum :-). Anleitungen dazu finden sich in diesem Post.

Kurzversion

Die Sparkasse+ App (aktuelle iOS-Version 2.4.1)

  • überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.
  • überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
  • hat laut App-Beschreibung TÜV geprüfte Sicherheit:

Sparkasse+ kommuniziert über direkte, verschlüsselte Schnittstellen mit Ihrem Kreditinstitut und sorgt für einen sicheren Datentransfer nach den deutschen Vorgaben zum Online-Banking. Alle Daten werden verschlüsselt gespeichert. Der Zugriff auf die App ist durch ein von Ihnen ausgewähltes Passwort geschützt. Dank der Autolock-Funktion wird die App nach drei Minuten ohne Interaktion gesperrt. Ihre Finanzen sind damit bei Verlust Ihres iPhones maximal gesichert. Der TÜV bestätigt diese höchsten Sicherheitsstandards. 

Langversion

Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.

Darf ich freundlich fragen warum dieser #Datenhunger? Danke. #Sicherheit

Sparkasse+ App

Knapp 6 Stunden später wurde mir in einer ersten Stellungnahme der Sparkasse mitgeteilt, dass diese Fragen an die StarFinanz weitergeleitet werden.

Erste Antwort von der Sparkasse

Kurz darauf habe ich von einem Sparkassen Kunden ein Netzwerkprotokoll erhalten. Bei jeder Konten-Aktualisierung werden die kompletten Zugangsdaten inklusive PIN seiner Bank an einen weiteren Server der StarFinanz übertragen. Beim Aufruf der Serveradresse https://sfpa.starfinanz.de, an die diese Daten übertragen werden, erscheint die Standard-Installations Seite von Tomcat. Dies ist nicht gerade vertrauenserweckend, noch dazu ist die dort ausgewiesene Version 7.0.33 über ein Jahr alt und es bestehen diverse Sicherheitslücken. Die naheliegende Frage nach dem Warum habe ich dann wieder per Twitter an die Sparkasse weitergereicht.

Gerade eine Mail von einem Sparkassenkunden bekommen, leider wirft das eine neue Frage auf

Übertragung der kompletten Logindaten

Mehr als 24 Stunden später kam von der Sparkasse der Hinweis, dass vor Montag mit keiner Antwort zu rechnen ist.

Zweite Antwort der Sparkasse