Die Nutzung von Mobil-Apps für Bankgeschäfte schreitet unaufhaltsam voran. Aber das könnte gefährlicher sein, als wir meinen.

Als sich Ariel Sanchez, ein Angestellter der Computer-Sicherheits-Firma IOActive Labs, daran machte, 40 Banking Apps der 60 «einflussreichsten Banken der Welt» zu testen, war er skeptisch gewesen, ob er überhaupt irgendwelche Mängel finden würde. Doch bald sei er eines besseren belehrt worden.

Wie er auf seinem Blog berichtet und an Einzelbeispielen darlegt, versagten viele Banken schon bei der Implementierung der Basis-Sicherheits-Vorkehrungen. Und dies sogar noch, nachdem sie auf die Schwachstellen aufmerksam gemacht worden seien.

Nicht geschützt gegen Man-in-the-middle-Attacken

Oder allgemein gesagt: Die Mehrheit der Banking-Apps haben ein Leck – oder mehrere. Der Forscher, der die Banking-Apps von fünf Dutzend Grossbanken während 40 Stunden geprüft hatte, listete auf, wo sich die Probleme häuften: Wie leicht lassen sich die Apps für Phishing-Aktionen missbrauchen? Oder enthalten viele Log-Files sensible Daten? Oder ist es möglich, über sogenannte Man-in-the-middle-Attacken die vollständige Kontrolle über den Datenverkehr zwischen zwei Kommunikationspartnern zu erlangen? Diese Lücke stellte er immerhin bei 40 Prozent der Apps fest.

Banken reagieren nicht auf Warnung

Noch schlimmer war laut Sanchez, dass er Lücken fand, die es einem Angreifer möglich machen, die Authentisierung zu umgehen. Dadurch erhält er Zugang zur Infrastruktur der Bank und kann diese mit Viren infiltrieren.

Sanchez nannte die Namen der Banken nicht – sie finden sich auf allen Kontinenten –, er gab aber an, dass er einige Institute bezüglich der Sicherheitslücken informierte habe. Keine dieser Banken habe sich bisher aber bemüssig gefühlt, diese Lücken zu beheben.