FinanzAssist unter Beschuss: „Sicherste“ Banking-App doch nicht so sicher?
Das auf Datensicherheit spezialisierte Blog Securityhandle – eine Name, der euch wahrscheinlich noch an den unrühmlichen Auftritt der Sparkassen-App im Sommer erinnert – hat sich mit dem Sicherheits-Versprechen der Banking-App FinanzAssist auseinander gesetzt und jetzt ein erstes Fazit zum kostenlosen Banking-Kompagnon vorgelegt, der sich selbst als „sicherste Banking-App“ bewirbt.
„Da nimmt jemand den Mund ganz schön voll!“ Der einleitende Satz des ausführlichen Artikels lässt erahnen, dass die von Cosmos Direkt angebotene Gratis-Applikation keinen wirklich überzeugenden Eindruck hinterlassen hat.
Der Download, unter der Haube nicht viel mehr als die FinanzBlick-App mit einer leicht angepassten Oberfläche, sendet sämtliche Bankdaten (inklusive PIN/TAN) über einen Server von Cosmos Direkt, verzichtet auf die Verschlüsselung der übertragenden Daten, setzt mit Intelliad, Visual Website Optimizer, Webtrekk und Nuggad gleich vier unterschiedliche Systeme zum Analysieren des Benutzerverhaltens ein und meldet sich darüber hinaus mehrfach bei den Servern von Buhl-Data.
Die mit einem Prüf-Siegel vom TÜV Rheinland ausgestattete Gratis-Anwendung soll darüber hinaus nur unzureichend gegen Man-in-the-Middle-Angriffe geschützt sein und verstößt nach Einschätzung der Sicherheitsexperten gegen fast alle gültigen AGB der unterstützten Finanzinstitute:
Wer sich damit abfinden kann, gegen seine Bank AGBs zu verstoßen und seine Finanzdaten über die Server einer Versicherung laufen zu lassen, der würde von der “sichersten Banking App” zumindest erwarten, dass die Finanzdaten zusätzlich verschlüsselt werden. Selbst dass hält man offensichtlich bei FinanzAssist nicht für nötig. So wird die PIN am iOS Gerät abgefragt und dann unverschlüsselt an den Server der comosdirekt übertragen.
Vor allem das Nutzer-Tracking sehen die Securityhandle-Macher kritisch. So bieten vier der zwei Eingesetzten Werbe-Tracker zwar die Möglichkeit zum Opt-Out an, erinnern sich aber nur für maximal eine Session an euren Wunsch, nicht getrackt zu werden. Um die Datenerhebung und -speicherung zu deaktivieren, müsste also vor jedem Konten-Abruf das Web-Formular der Werbe-Firma benutzt werden.
Das Securityhandle-Team schließt ihre Bestandsaufnahme mit einer ungläubigen Frage:
Unter den zertifizierenden Augen des TÜVs (“Datenschutz geprüft”) ist es also möglich mit der “sichersten Banking-App” FinanzAssist seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen. Das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachträglich und aufwendig dagegen Einspruch erhebt. [Und] Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulassen und damit weitere Angriffe möglich machen?
