Unklare Datenübertragung: Sparkassen-App in der Kritik
Sicherheits-Analytiker haben am Wochenende die Datenübertragung der offizielle iPhone-App der Sparkasse kritisiert.
In ihrer aktuellen Version 2.4.1 überträgt die Sparkasse+ App „sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz.“
Darauf verweist die Webseite Securityhandle in ihrem Eintrag „Sparkasse+ App überträgt ungefragt sensible Daten“.
Die Anwendung der Sparkasse überträgt die kompletten Zugangsdaten inklusive PIN aller Sparkassenkonten an einen potentiell unsicheren Server der StarFinanz.
Auf Nachfrag des Beitrags-Autoren @securityhandle reagiert der offizielle Twitter-Account der Sparkasse Deutschland derzeit noch ausweichend, verspricht aber die schnelle Klärung der aufgeworfenen Fragen.
@securityhandle Das können wir aus dem Stegreif nicht beantworten. Wir fragen bei den Kollegen von der @StarFinanz nach.
— Sparkasse (@Sparkasse_de) 30. Mai 2014
Die mitgeschnittenen Datenübertragungen, die zu der berechtigten Nachfrage geführt haben, könnt ihr hier einsehen. Wir behalten den Fall auf dem Radar und melden uns sobald relevante Informationen vorliegen.
Bei der zufälligen Analyse des Netzwerktraffics der Sparkasse+ App mit Charles, ist mir aufgefallen, dass jedes Mal beim Start der App meine comdirect Benutzerkennung, alle Kontonummern und Kreditkartennummern an einen Server bei der StarFinanz übertragen werden. Nachdem ich weder in der App, noch in den Datenschutzbestimmungen oder in den AGBs etwas darüber gefunden habe, wendete ich mich mit folgendem Bild am Freitag morgen per Twitter an die @Sparkasse_de und die @starfinanz.
Seller Not Found
19.73MB
Genau deshalb nutze ich Banking 4i
Na da weiß man erst recht nicht ob es sicher ist
Wie kann eine Banking-App sicher sein, die als Passwort nur 5 Zeichen zulässt ??!!!
Guten Morgen, das mit den 5 Zeichen verstehe ich jetzt nicht. Falls Du die PIN bei Sparkasse oder Postbank meinst: Diese ist von der Bank auf 5 Zeichen begrenzt! Auch wenn Du im Webformular der Bank vielleicht mehr Stellen eingeben kannst, alles nach der fünften Stelle wird von der Bank ignoriert. Gib doch zum Spaß im Web einfach mal nur die ersten 5 Stellen deiner PIN ein.
Genau deshalb bin ich nicht Kunde einer Sparkasse!
achso
Weil die App Daten überträgt? Na das sind mal Kriterien zur Wahl einer Bank.
Und damit da eines klar ist: bei aller Kritik an Outbank DE, die App synchronisiert verschlüsselt nur direkt mit den Servern der Banken. Keine Umwege über andere Server.
Wirklich verschlüsselt ist da auch nur die https-Verbindung, denn nichts anders lässt HBCI/FinTS beim PIN/Tan-Verfahren zu.
Wiedereinmal spielt hier die angebliche Sicherheitsüberprüfung des TÜV eine Rolle. Man endlich kapiert ihr, dass diese TÜV Prüfung für die Katz ist und ausschließlich zur Einnahmesteigerung des TÜV dient. Der Sparkasse ist vorzuwerfen, dass sie sich solcher durchsichtigen Feigenblätter bedient.
Oft wird nur ein gewisser Software-Stand überprüft und zertifiziert. Wenn das danach eingebaut wurde, dann ist das immer so ne Sache.
Was wirklich geprüft wurde wird nicht gesagt! Meist wird – wenn überhaupt – nur die Existenz von schriftlich niedergelegten Standards überprüft – wie gesagt nur die Existenz! Was wirklich geprüft wurde wird nicht gesagt!
Die Sparkassen Brauchen aber lang mit ihrer Antwort!
Ich hab selbst ein offensichtliches Sicherheitsleck der Sparkassen Seite gemeldet,… Es interessiert sie noch nichtmal!!! Echt klasse!
Kenn ich von einem anderen Server. Das ist denen nicht mal eine Antwort wert.
aha erzähl mal. was denn fürn leck?
ist mittlerweile schon ertrunken ^^
Von allem finde ich das Verbraucher die benutzen wollen Sparkasse App müssen erst mal bezahlen, in vielen eu lender gibst ja kostenlose Banken App nur natürlich in Deutschland Mann Mus bezahlen für nicht ausgereifte Produkt . MfG
Selten so einen Schwachsinn gelesen. Für Sparkassen Künden gibt es die App Sparkasse (ohne +) und die ist kostenlos.
Lediglich Fremdbankkunden müssen zahlen sofern Sie Ihre Bank nichts anbietet und sie die App der StarFinanz nutzen wollen!
Selten so einen Schwachsinn gesehen? Du weißt schon, dass die Sparkasse und Sparkasse+ Apps 2 verschiedene sind!? Und will man die Sparkasse+ App muss man nunmal zahlen, ob man Sparkassenkunde oder Fremdkunde ist. Und das beide Apps verschiedene Funktionen bieten sollte auch klar sein.
Was kann die tolle „+“ denn besser für Sparkassen Kunden?
Aber mir latte, iOutbank 2 (ohne DE) läuft ja noch …
@ennienns
Wer lesen kann ist klar im Vorteil. Habe geschrieben dass die + App für Fremdbankunden ist. Der Unterschied ist marginal, wenn überhaupt vorhanden und es ändert nichts, aber auch gar nichts an der Aussage dass der Thread auf den ich mich bezog einfach nur dumme und absolute einfachste Polemik ist. Kunden der Sparkasse bekommen eine kostenlose App deren Funktionsumfang der + in so gut wie nichts nachsteht und sogar sicher verschlüsselt ist (wie auch die Kunden der meisten anderen Banken, Bsp. VR). Sofern man natürlich Fremdbanken einbinden will ändert sich die Sache, da nicht alle Banken HBCI unterstützen.
Also das nächste Mal einfach mal richtig lesen und Argumente für die eigene These bringen, dann klappts auch mit der Diskussion!
Bei mir lüppt die App und gratis gabs die auch mal. Mensch Egon, stell dich doch ned für 3 Brötchen an, Mensch.
Die Übertragung aller Konten und Karten ist natürlich nicht erforderlich und sollte im Bankingumfeld nicht stattfinden. Allerdings ist es nach dem HBCI/FinTS-Standart bei Verwendung des PIN/TAN Verfahrens durch aus Üblich eine Verbindung nur per https abzusichern. Eine Verschlüsslung kannst nur sinnvoll im Zusammenhang mit einem Sicherheitsmedium eingesetzt werden, und ein solches gibt es mobil einfach zur Zeit nicht.
Standard, nicht Standart!
Viele Banken (vor allem die Kreditkartenbanken) bieten leider kein echtes HBCI oder FinTS an. Dort wird dann via Screenparsing das Login und der Datenabgleich durchgeführt. Heißt die Übertragung aller Daten an den Server der Bankingapp ist hier systemimmanent. Allerdings sollte dann auch explizit darauf hingewiesen werden und nicht stillschweigend im Hintergrund pauschal mitgeschnitten werden!
Von wegen systemimmanent: OutBank macht das Screenscraping auf dem IOS-Device, hier werden keine Daten an Dritte übermittelt.
Wie wär´s mit Finanzblick? Kostenlos, verschlüsselt, sicher! Und funktioniert, im Gegensatz zur genannten Outbank…;-)
Die übertragen ausnahmslos alles an ihre Server um die Umsätze kategorisieren zu können.
Unsinn, wenn du deren Webapp nicht nutzt, läuft alles zwischen deinem iOS-Gerät und deiner Bank, ohne finanzblick-Server dazwischen. Ausnahme = Screenparsing für Konten die kein HBCI unterstützen, aber das musst du bewusst so aufsetzen und die App weist dich deutlich darauf hin. Siehe finanzblick-Datenschutzbestimmungen, Abschnitt D (ziemlich weit unten)
aha! habe soeben mein konto bei der sparkasse gekündigt!!
welche bank ist sicherer?
und bitte um schnelle hilfe, mein gehalt
wird morgen erwartet!
Soso, gekündigt. Sinn ? Parkbank, Bargeldübergabe
Das war ironesisch.
ich nehm immer Sun-Booster, würd dir aber die Senso-Tronic empfehlen ;)
Ich find es echt lächerlich und erschreckend zugleich, dass es anscheinend keine sichere App fürs mobile Banking gibt. Ich weiß nicht wie es in anderen Ländern da aussieht, aber die arbeiten schon auf Hochtouren an sicheren Zahlungsmoglichkeiten mit Smartphones und wir kommen nichtmal mit normalen Banken klar. Den einen Tag liest man, Outbank sei so schlecht, es koste Geld und sei überhaupt nicht sicher. Man solle die Hauseigenen Apps nutzen, dass sind ja immer die sichersten. Jetzt heißt es, nein überhaupt nicht sicher. Wird das irgendwann mal überprüft oder behauptet hier einfach jeder lustig weiter was er so denkt?
War in Kommentaren nie anders.
Na toll, ich habe bisher auf die Nutzung von Drittanbieter Apps verzichtet, weil ich gedacht habe mit der Sparkassenapp auf der sicheren Seite zu sein. Wohl falsch gedacht !
1. Starfinanz ist Tochter der Sparkassen Finanzgruppe.
2. wie soll eine Transaktion sonst funktionieren, wenn die Daten nicht an den verarbeitenden Server geschickt werden?
Aber Unverschlüsselt?
Nur die + App, siehe oben. Normale, kostenlose App überträgt verschlüsselt, alles in Ordnung
Ja ich auch ! Erschreckend was die Sparkasse da mit den Kunden riskiert.
Bleibt dran bei dem Thema !
Wenns ums Geld geht hört der Spaß auf !!
Wenns ums Geld geht… Spaaarkassse ;)
Kuchen
Die nutze ich auch..find die sparkassen app soweit gut..aber kreditkartenumsätze werden dort nicht angezeigt. Weiß jemand, ob es geht über die App?
Ja geht, zumindest wenn die Kreditkarte (Visa oder MasterCard) auch über die Sparkasse geht. Einfach mal zum Berater, Schalter und die Freischaltung beantragen …
Aha,
es verwundert also, das die Sparkasse eine App durch ein Tochterunternehmen entwickeln läßt und dieses dann auch noch Daten an deren Server sendet. Skeptischer wäre ich, wenn Daten an Sparkassenfremde Unternehmen gesendet werden würden. Okay, bei Bankingsoftware sollte ich davon ausgehen, das meine Verbindung nur zwischen meinem Endgerät und dem zentralen Server der Bank oder Sparkasse besteht. Aber in Hinblick auf das Finanzamt und dessen Schergen gibt es faktisch auch kein Bankgeheimnis mehr.
Die Sicherste Verbindung zwischen der Bank und deren Kunden ist eh ein Spaziergang zur Filiale. Das hat übrigens bestens mehrere Jahrzehnte, oder besser Jahrhunderte, funktioniert.
Deutschland Land der Stümper und inkompetenten …..wundert mich nicht.
Impotente Kravattenträger !
Ich hoffe das es mal den GAU gibt der die ganze Welt zusammenbrechen lässt. Und das nur weil es keine Sicherheiten gab die von Laien ausgenutzt werden konnten. Ich wünsche es mir so das ALLE davon betroffen sind. Bei mir wird nicht viel fehlen. Aber bei den Verantwortlichen wird’s dann schon etwas mehr wenn von heut auf morgen viel Geld weg ist… Natürlich darf sich das wieder aufklären und alle Gefeuert werden die dort geschlampt haben.
Nachts zu viel N-TV geguckt? Der Meteorit ist schon aufm Weg ;) … keine Sorge!
SKANDAAAAAL ! Gibt’s hier keine Polizei für?