Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Sicherheitslücken bei Banking-Startup N26: „Alle Lücken geschlossen“

    Sicherheitslücken bei Banking-Startup N26: „Alle Lücken geschlossen“

(Bild: N26)

Ein deutscher IT-Sicherheitsexperte hat schwerwiegende Sicherheitslücken in der Infrastruktur von N26 gefunden. Diese Lücken sind mittlerweile geschlossen.

N26: Sicherheitslücken in der Banking-App geschlossen

N26 (früher: Number26) hat im Sommer als erstes Fintech in Deutschland eine Banklizenz erhalten und eine 40 Millionen US-Dollar schwere Finanzierungsrunde erfolgreich abgeschlossen. Ansonsten dürften die N26-Macher aber froh sein, wenn das Jahr 2016 endlich vorbei ist. Nachdem es im Februar eine Sicherheitslücke bei der Number26-Kreditkarte gab und im Frühsommer einen Shitstorm wegen einer ganzen Reihe von Kündigungen kämpft das Startup derzeit mit Problemen bei der Migration der Konten auf die eigene Plattform. Immerhin sollen die Sicherheitslücken, die ein IT-Experte aufgedeckt hatte, inzwischen geschlossen sein.

Die Sicherheitslücken beim Banking-Startup N26 sind geschlossen. (Foto: N26)
Die Sicherheitslücken beim Banking-Startup N26 sind geschlossen. (Foto: N26)

Vincent Haupert von der Uni Erlangen-Nürnberg war es nach eigenen Angaben gelungen, über die N26-App Kundendaten einzusehen, Überweisungen in Echtzeit zu manipulieren und sogar Bankkonten komplett zu übernehmen – und das unabhängig von dem verwendeten Endgerät. Mehr über die von ihm entdeckten Sicherheitslücken bei N26 will Haupert Ende Dezember beim 33. Chaos Communication Congress (33c3) berichten. Dort wird er einen Vortrag unter dem Titel „Shut Up and Take My Money! The Red Pill of N26 Security“ halten. Haupert hatte schon beim CCC im vergangenen Jahr für Aufsehen gesorgt, als er zeigte, wie die Online-Banking-App der Sparkasse geknackt werden konnte.

Haupert zufolge wurde N26 am 25. September über die Schwachstellen informiert. Die gemeldeten Sicherheitslücken sollen mittlerweile geschlossen sein. Sein Vortrag auf dem 33c3-Event werde daher keine negativen Auswirkungen auf N26-Kunden haben, heißt es in einem Update auf der entsprechenden Event-Vorschauseite. Zudem lobte der Sicherheitsforscher die Zusammenarbeit mit dem Banking-Startup.

Gegenüber t3n teilte eine N26-Sprecherin mit, dass Haupert „zu keiner Zeit auf fremde Kundendaten zugegriffen“ habe. Den Kunden sei durch den Test des Sicherheitssystems kein Schaden entstanden, und es bestehe für sie kein Risiko. „Wir sind den aufgezeigten Szenarien gemeinsam nachgegangen und haben alle möglichen Sicherheitslücken bereits geschlossen.“ N26 arbeite künftig eng mit Haupert zusammen. Sicherheit habe für das Fintech-Unternehmen „höchste Priorität“.

N26 will Bug-Bounty-Programm starten

Zuvor hatte eine Unternehmenssprecherin gegenüber Gruenderszene.de gesagt, dass das Unternehmen in Folge der Information über die Sicherheitslücken mehrere Millionen Transaktionen durchgeführt habe, es seien allerdings keine Schadensfälle bekannt. Deswegen habe man auch die Öffentlichkeit nicht über die Lücken informiert. N26 will jetzt mit einem Bug-Bounty-Programm für eine Verbesserung seiner IT-Infrastruktur sorgen.

In der vergangenen Woche hatte N26 angekündigt, dass das Banking-Startup in neun weitere europäische Märkte, nämlich Belgien, Estland, Finnland, Lettland, Litauen, Luxemburg, den Niederlanden, Portugal und Slowenien expandieren wolle. In den kommenden Jahren soll das Banking-Konzept des Fintech-Unternehmens bis zu zwei Millionen Kunden anziehen. Im Januar wird laut N26 jedoch zunächst einmal der aktuell holprig verlaufende Migrationsprozess abgeschlossen sein.

Auch interessant: Number26-Gründer Maximilian Tayenthal: „Heute würden wir das nicht mehr so machen.“

Finde einen Job, den du liebst zum Thema Webdesign, Grafikdesign

17 Reaktionen
RegExp

@T3nRedaktion

Wie oft hier schon über N26 resp. Number26 berichtet worden ist, ist auffällig ...; auch Politik findet oft in Form eines Artikels auf eure Webseite - viele überlesen dass, einige provoziert es ... !

N26 hier ... und Merkel-Politik da ...; da kann ich nicht die Klappe halten, echt nicht - ist dass so von euch gewünscht ?

Ciao, Sascha.

Antworten
anonym
anonym

"As of December 13, to the best of our knowledge, all vulnerabilities that we have reported to N26 are closed. Therefore, we are confident that the 33c3 talk will not do damage to any N26 customer. We want to emphasize and commend the responsive and friendly contact with N26."

alles schon gefixt also, kein Kunde wird geschädigt werden, warum also diese meldung?????

Antworten
-.-
-.-

das problem heutiger startups ist rasantes wachstum mit größtmöglichem profit beim verkauf. uber, n26, etc. die scheren sich nicht wirklich um sicherheit oder nachhaltigkeit... höher, schneller, weiter ist alles was zählt!

da würde ich als kunde ungern unter die räder kommen, und wenn - würde ich evtl. grad mal 50 - 100 euro pro monat als zweitkonto zum spielen darüber führen, aber bestimmt bei keinem startup das hauptkonto haben.

Antworten
Robert Lassen

Persönlich habe ich auch nicht nur ein Konto bei einem Startup. Da vertraue ich auf die etablierte Targobank als Backup. Bloß keine Sparkasse! Bezahlen tue ich lieber mit der Karte von Fidor, weil das ein bisschen komfortabler ist und ich ein Startup gerne unterstütze. Deshalb habe ich auch mehr als 100 Euro drauf. Ein Verlust meines Geldes befürchte ich nicht. Jede Einlage ist in Deutschland bis 100.000 Euro (oder so ähnlich) abgesichert.

Antworten
Jerome
Jerome

Weshalb keine Sparkassen, wenn ich fragen darf?

Robert Lassen
Robert Lassen

@Gerome

Darauf gebe ich dir gerne eine Antwort :-)

Sparkassen sind einfach sehr rückschrittlich. Bei jeder Privatbank bekomme ich eine Kreditkarte mit Kontaktlos-Funktion. Fast alle Sparkassen verweigern eine Ausgabe dieser Karten und sorgen damit mindestens indirekt dafür, dass Apple Pay und Co. nicht nach Deutschland kommen. Die Sparkassen haben einen Marktanteil im Privatkundengeschäft von über 50 % und können Innovationen damit verhindern. Ihre eigenen Verfahren wie girogo kriegen die aber auch nicht hin. Für veraltete Technologie verlangen die dann auch noch hohe Kontoführungsgebühren.

Deshalb unterstütze ich Startups gerne.

s.
s.

@Da vertraue ich auf die etablierte Targobank ...

Selten so gelacht. Zur Erinnerung. Die Targobank hieß bis 2010 Citibank. Die Citibank die zehntausende Anleger durch zwiespältige Beratung um ihre Ersparnisse gebracht hat. Dann glaube mal weiterhin daran, dass bei dieser Bank dein Geld sicher ist.

Robert Lassen

@ s.

Ich behaupte nicht, dass die Targobank die beste Bank ist. Das Online-Banking ist schlecht und der Ruf nicht der beste. Völlig richtig. Ich bin damals dazu bekommen, weil ich bei der Sparkasse keine kontaktlose Kreditkarte bekommen hatte und nur eine neue Kreditkarte ohne Bankkonto haben wollte. Da hat die Targobank das für mich beste Angebot bereitgestellt.

Vielleicht habe ich mich falsch ausgedrückt. Ich vertraue der Targobank nicht mehr als Fidor. Es ist einfach schön, ein Backup zu haben, wenn eine Karte mal nicht funktioniert. Theoretisch wären zwei Startup-Banken genauso gut.

RegExp

@N26

Mit Geld spielt man nicht; lasst's doch einfach sein - ihr schafft's nicht eine ordentliche Bank zu werden ... !

Ciao, Sascha.

Antworten
Robert Lassen

Das sehe ich anders. N26 ist der dringend benötigte Schwung im deutschen Bankensystem. Ich habe wenig bedenken, dass N26 keine richtige Bank werden kann. Wie in dem Beitrag steht, wurde die Sparkassen-App auch geknackt. Das ist nicht ungewöhnlich, aber eine Aufdeckung und Behebung natürlich unbedingt nötig.

Und wie sagt ein Sprichwort: Negative Presse ist auch Presse. Oder so ähnlich :-)

Antworten
RegExp

@RobertLassen

Wem man sein Geld anvertraut bleibt jedem selbst überlassen - wer nicht paranoid genug ist Banken wie N26 zu misstrauen ist wohl dumm / naiv genug solchen zu vertrauen.

Ciao, Sascha.

Robert Lassen

@RegExp
Das hat nichts mit Naivität zu tun. Wo wären wir heute, wenn kein Mensch ein Risiko eingegangen wäre! Zumal sind die Einlagen bei einer Bank in Deutschland voll abgesichert. Also keine Panik.

Karl Marks
Karl Marks

Der Support von N26 ist unhöflich, zum teil wird er sogar beleidigend; und das wo der Fehler auf deren Seite lag und man höflich versuchte darauf aufmerksam zu machen. Einmal und nie wieder.

RegExp

@RobertLassen

Wie @s. bereits richtig festgestellt hatte, ist die Targobank, ehemals CitiBank, ein Kreditinstitut welches durch die 'Lehman Brothers'-Pleite Schlagzeilen machte; die Targobank hat auch noch heute div. Schwierigkeiten 'Geschäftsvorfälle' entsprechend der Order des Gesetzgebers, der BaFin abzuwickeln, fällt immer wieder durch Negativ-Presse auf:

Z. B. hier => https://goo.gl/P28ggU u. hier => https://goo.gl/WzMTAQ; für N26 wie auch die Targobank gilt wohl 'Abenteuerbank kostet Kontostand' !

Sog. 'StartUps' resp. zu dt. (Neu-)Gründer, denn ich hasse 'unnötige' Anglizismen, sind (i. d. R.) keine 'geimeinnützigen' Institutionen, vielmehr möchten diese 'Firmen' Geld verdienen, ergo auch Profit aus der Naivität, Unwissenheit der Leute ziehen, Geschäfte machen - sowas unterstützt man nicht, sowas ist nicht sozial, sowas ist ggf. asozial.

Einige Kommentare hier erscheinen mir wie 'gekaufte' Kommentare, 'gekauft' von N26; ich hingegen bin einfach nur jemand der ehrlich schreibt was er denkt, ob zur AfD, welche ich (nur) aufgrund Merkels Kurs befürworte oder zu N26, die (m. E. auch in Zukunft) nix 'geschissen' bekommen (werden) ... !
Allein dass hier im Artikel eingebettete Foto des N26-Teams wirkt auf mich nur arrogant und großkotzig.

Ciao, Sascha.

RegExp

@RobertLassen

Aus meinem Umfeld, ergo aus sicherer Quelle, weiss ich, dass die Targobank aktuell - trotz rechtsgültiger Kündigung - sich der Durchführung besagter (nach dem BGB wirksamen) Kündigung verweigert.

Dies steht in einem direkten Kontext zu den jüngsten - medial erwähnten - 'Vorfällen' bei vorgenannten Kreditinstitut.
Die BaFin ist unlängst in diesen Fall involviert, die Bank spielt auf Zeit.

Auch die Staatsanwaltschaft ist in der Vergangenheit schon in einem vergleichbaren Fall wg. der Targobank eingeschaltet worden.

'Gott ist mit den Doofen' meint eine alte Weisheit ...; 'wer nix weiss muss leider alles glauben' meine hingegen ich.

Ciao, Sascha.

Robert Lassen

@ RegExp

Wenn Sie von gemeinnützigen Institutionen schreiben, sind Sie wahrscheinlich großer Anhänger der Sparkassen. Die machen damit gerne Werbung.

Die Sparkassen sind keineswegs besser als Privatbanken. Ich wurde jedes Jahr mindestens einmal zum Gespräch eingeladen, um mich zu "beraten". Es ging immer darum, mir teure Deka-Fonds zu verkaufen. Mein letzter Berater war frisch ausgelernt und hatte keine Ahnung, musste einen Kollegen bei kritischen Rückfragen hinzuziehen. Beim nächsten Termin sollte es dann um Lebensversicherungen gehen, die gerade in dem Niedrigzinsumfeld nur der Bank etwas bringen. Die Mitarbeiter dort sind auch unter Verkaufsdruck. Die Targobank und Fidor lassen mich wenigstens komplett in Ruhe!

Zudem sind die Vorstandsbezüge wie in der freien Wirtschaft übertrieben und für gemeinnützige Zwecke wird nur ein Bruchteil des Gewinns ausgeschüttet.

Dafür zahlt der naive und unwissende (Ihre Worte) Kunde hohe Kontoführungsgebühren und bekommt veraltete Technik.

NEIN, NEIN, NEIN! Die Sparkasse ist nicht besser und auch nicht wirklich gemeinnützig. Das ist heute kein Grund, sich für eine Sparkasse zu entscheiden. "wer nix weiss muss leider alles glauben" ;-)

Hier ein Beitrag vom ZDF aus diesem Jahr: https://www.youtube.com/watch?v=OphRPU66qrY

RegExp

@RobertLassen

NEIN (!!!) - ich sehe weder die Sparkasse noch irgendein anderes Geldhaus als 'gemeinnützig' an; Banken sind wie Kondome, man braucht sie leider öfter als einem lieb ist.

Auch die Fidor Bank bei welcher ich momentan noch Kunde bin finde ich mittlerweile voll scheiße, nur kostet mich dieses Girokonto nix und andere Banken sind schlimmer.

Ciao, Sascha.

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden