FinanzAssist unter Beschuss: „Sicherste“ Banking-App doch nicht so sicher?
Das auf Datensicherheit spezialisierte Blog Securityhandle – eine Name, der euch wahrscheinlich noch an den unrühmlichen Auftritt der Sparkassen-App im Sommer erinnert – hat sich mit dem Sicherheits-Versprechen der Banking-App FinanzAssist auseinander gesetzt und jetzt ein erstes Fazit zum kostenlosen Banking-Kompagnon vorgelegt, der sich selbst als „sicherste Banking-App“ bewirbt.
„Da nimmt jemand den Mund ganz schön voll!“ Der einleitende Satz des ausführlichen Artikels lässt erahnen, dass die von Cosmos Direkt angebotene Gratis-Applikation keinen wirklich überzeugenden Eindruck hinterlassen hat.
Der Download, unter der Haube nicht viel mehr als die FinanzBlick-App mit einer leicht angepassten Oberfläche, sendet sämtliche Bankdaten (inklusive PIN/TAN) über einen Server von Cosmos Direkt, verzichtet auf die Verschlüsselung der übertragenden Daten, setzt mit Intelliad, Visual Website Optimizer, Webtrekk und Nuggad gleich vier unterschiedliche Systeme zum Analysieren des Benutzerverhaltens ein und meldet sich darüber hinaus mehrfach bei den Servern von Buhl-Data.
Die mit einem Prüf-Siegel vom TÜV Rheinland ausgestattete Gratis-Anwendung soll darüber hinaus nur unzureichend gegen Man-in-the-Middle-Angriffe geschützt sein und verstößt nach Einschätzung der Sicherheitsexperten gegen fast alle gültigen AGB der unterstützten Finanzinstitute:
Wer sich damit abfinden kann, gegen seine Bank AGBs zu verstoßen und seine Finanzdaten über die Server einer Versicherung laufen zu lassen, der würde von der “sichersten Banking App” zumindest erwarten, dass die Finanzdaten zusätzlich verschlüsselt werden. Selbst dass hält man offensichtlich bei FinanzAssist nicht für nötig. So wird die PIN am iOS Gerät abgefragt und dann unverschlüsselt an den Server der comosdirekt übertragen.
Vor allem das Nutzer-Tracking sehen die Securityhandle-Macher kritisch. So bieten vier der zwei Eingesetzten Werbe-Tracker zwar die Möglichkeit zum Opt-Out an, erinnern sich aber nur für maximal eine Session an euren Wunsch, nicht getrackt zu werden. Um die Datenerhebung und -speicherung zu deaktivieren, müsste also vor jedem Konten-Abruf das Web-Formular der Werbe-Firma benutzt werden.
Das Securityhandle-Team schließt ihre Bestandsaufnahme mit einer ungläubigen Frage:
Unter den zertifizierenden Augen des TÜVs (“Datenschutz geprüft”) ist es also möglich mit der “sichersten Banking-App” FinanzAssist seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen. Das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachträglich und aufwendig dagegen Einspruch erhebt. [Und] Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulassen und damit weitere Angriffe möglich machen?
Passiert. Nichts ist sicher.
Das ist kein Softwarebug, der „mal passieren kann“. Das ist ein Problem im Konzept. Die fehlende Verschlüsselung mag noch als Bug durchgehen, die Abwicklung des kompletten Zahlungsverkehrs über fremde Server nicht.
Würdest Du im „echten Leben“ jemandem deine Kontonummer, deine PIN und eine TAN in die Hand drücken, damit er für Dich eine Überweisung ausführt?
„Die fehlende Verschlüsselung mag noch als Bug durchgehen“
Das geht definitiv nicht als Bug durch. Das ist grob fahrlässig!
Würdest du das auch noch sagen wenn plötzlich deine Konten leer sind und die Versicherung der Bank nicht zahlt, da du gegen die AGB verstoßen hast? Passiert?
Trifft das dann auch auf die Finanzblick App zu?
Nutze finanzblick!? Ähnlich einzustufen? Oder sind die Modifikationen doch größer und umfangreicher?
aus der Finanzblick-Appstore-Beschreibung:
** Die Geschäftsvorfälle erfolgen vollständig verschlüsselt über den finanzblick-Server
(Frag mal bei Deiner Bank nach, ob Du die Daten über einen fremden Server eingeben darfst… selbst wenn es hier verschlüsselt sein sollte)
Vollständig verschlüsselt ist ein SSL Tunnel auch. Ob die Daten selbst nochmal innerhalb des Tunnels verschlüsselt sind ist damit noch nicht gesagt. Ich gehe davon aus, dass an diesem Teil nichts geändert wurde und Finanzblick ähnlich schlecht ist. Da ist höchstwahrscheinlich nur der Cosmos Direkt Server durch den Finanzblick Server ersetzt.
Die „vollständige Verschlüsselung“ ist nur ein Randproblem, das kann ggfs. tatsächlich ein Fehler sein.
Das viel größere Problem ist, dass Du Deine Zugangsdaten an die Finanzblick-Server gibst…
Am 13.11. hat iFun nach dem Studieren der Agbs Finanzblick als unbedenklich eingeschätzt.
@Andreas: Gibt es eigentlich irgend einen nachvollziehbaren Grund dafür, das Du „vergessen“ hast darauf hinzuweisen, dass sich die von Dir zitierte FUSSNOTE (darum die beiden Sternchen!) NUR AUF BESTIMMTE SONDERFÄLLE bezieht, z.B. auf „Santander Tagesgeld“ und „Bank of Scotland Tagesgeld“?
Bei den beiden genannten Beispielen handelt es sich um Konten, die a) bereits durch ihre „Konstruktion“ ganz besonders sicher sind (Überweisungen können NUR auf ein bei der Kontoeröffnung hinterlegtes Referenzkonto erfolgen und eine Änderung des Referenzkontos ist meines Wissens online nicht möglich), b) meines Wissens kein HBCI unterstützen und darum c) von anderen Apps i.d.R. „ignoriert“ werden?
Die Fußnote trifft auf „normale“ (Giro-)Konten dagegen NICHT zu – dort erfolgt das Onlinebanking nämlich direkt iDevice und Bank!
Nutze auch finanzblick. Das würde mich dann auch interessieren.
Tja, aus dem Grund, meine Pins und Tans auf fremden Servern einzugeben habe von der Finanzblick-App großen Abstand gehalten, nachdem ich die Beschreibung im Appstore gelesen hatte.
Immerhin sind sie so konsequent nicht auch noch zu verschlüsseln und damit irgendeine Sicherheit vorzutäuschen. ;)
Bei Banking4i und iOutbank läuft hingegen alles lokal und es wird direkt mit dem Bankrechner kommuniziert – ohne den Server das Programmherstellers dazwischen.
Wer nach so einem Bericht immer noch an Finanzblick (und Varianten) festhält, dem ist nicht mehr zu helfen…
Tja, da bin ich galt „unbequem“ und nutz so etwas aus Prinzip nicht! Bankgeschäfte mache ich in Ruhe zu Hause am Rechner. Und selbst da ist es nicht besonders sicher. Aber läuft, wenn kein Schadprogramm auf dem eigenen Computer ist, wenigstens über den „Bankserver“..
Eine gute Banking-App ist sogar sicherer als zuhause über den PC zu arbeiten, da es schlichtweg deutlich weniger Angriffspunkte gibt…
Aber halt keine, die die Daten automatisch an einen Dritten weitergibt.
Wie kann jemand einen Ratschlag geben, der selbst nicht den genauen technischen Überblick hat?
.
Banking-App nicht gleich Banking-App!
.
Bei Outbank und Banking4i wird eine von Banken akzeptierter sicherer Standard (HBCI Finjan Tan) verwendet. Und wenn etwas vertrauenswürdig sein sollte, dann hätte man von Anfang gewusst „Hm, die App kenne ich kaum und weiß nicht wie sicher es ist.“. Natürlich sollte man darauf achten „Hey, es gibt viele Lemminge, die die App nutzen, aber weil ein Lemming in den Abgrund springt, muss ich nicht unbedingt das Gleiche tun (außer ich wäre ein Lemming …)“. Deshalb hätte ein möglicher Zwischenfall nie passieren können, wenn man etwas auf Sicherheit achtet (d.h. Nicht, dass es viel besser ist, denn laut Erfhrungsberichten ist noch niemandem so etwas zugestoßen).
Da gebe ich Andreas zu 100% Recht. Ein Desktop-Rechner ist evtl. viel gefährdeter als ne App (Android mal abgesehen)
Keine Ahnung, wann ich zuletzt eine Überweisung von zu Hause gemacht habe. Aber wird einige Jahre her sein…
Ich mache jetzt seit 14 Jahren Onlinebanking und dabei ist noch nie auch nur im Ansatz irgendwas schiefgegangen. Hirn ein, verstehen, was man tut und es kann fast nichts schiefgehen. Das Problem ist doch nicht das Onlinebanking, das Problem ist dass Leute wie bekloppt PINs und TANs irgendwo eingeben…
Diese Banking Apps benutzen schließlich diese spezielle Form von HBCI (Finjan Tan), wo auch gewisse Mindestsicherheitsstandards vorgeschrieben sind und nur genutzt werden könnten, wenn es die Bank erlaubt.
Dieses Werbeversprechen grenzt an Betrug. Hoffentlich kommt bald eine Verbraucherzentrale und mahnt das ab. Und diesem TÜV Rheinland sollte die Lizenz zum zertifizieren entzogen werden.
HÄHÄÄ wer glaubt an Sicherheit? Der ist selber schuld. NICHTS IST SICHER!!! merkt euch das endlich!
Auch wenn Haustüren nicht sicher sind, hinterlege ich meinen Haustürschlüssel trotzdem nicht am Zeitungskiosk um die Ecke…
Weben mit TÜV Siegel, was sagt uns das die Betrügen genau so wie der ADAC.
Einfach mal schauen, was hinter dem TÜV-Test steht:
https://www.checkyourapp.de/Testverfahren
Ein automatisierter Test ohne Einblick in den Quellcode. Zu Deutsch: Ein Witz.
Unglaublich! Wo finde ich denn diesen securityhandle Artikel?
Ich habe bisher auch Finanzblick genutzt. Das hier geschriebene lässt mich allerdings überlegen, vielleicht doch mal Geld in die Hand zu nehmen. Kann hier jemand eine fundierte Empfehlung für eine Banking App geben?
Banking4i.
Und das Ändern der Onlinebanking-Pin nicht vergessen.
Banking 4i würde ich auch sagen. Wenn du nur Konten bei einer Bank hast, kannst du die kostenlose version nutzen.
Nur Paypal vermisse ich sehr in der App.
@Ben: Ich konnte doch gerade bei der Starter ein PayPal Konto auswählen? Oder ist das nicht das Konto?
Ich nutze Star Money. Wobei nur die Mac-Variante. Die beherrscht auch PayPay und Amazon-Konten usw. Und die Regel-Erstellung um Auswertungen zu fahren macht das Ding auch selbständig. Es wird einfach analysiert was du wie einkategorisiert hast und wird in Zukunft genauso gehandhabt. Einfach einfach. Und recht schick aufgemacht. Banking vom Handy halte ich allgemein für gefährlich. Gerade wenn man noch dazu auf SMS-Tan setzt.
Danke schon mal.
Darum kann ich nur jedem raten von Finanzblick und solchen Apps die Finger zu lassen. Outbank DE oder Banking 4i sind sehr empfehlenswert und Sicher. Die haben auch Erfahrung und das schon ca. 10 Jahre.
Hierbei geht es um Finanzassist, nicht um Finanzblick. Das sind zwei paar Schuhe.
iOutbank ist um Einiges unsicherer als Finanzblick, was bisherige Tests im Vergleich bewiesen haben.
Erzähle kein Dünnpfiff. Finanzassist stammt im Kern von Finanzblick. Outbank und Banking 4i sind die besten Bank Apps in Deutschland. Was Gutes kostet halt was.
@Cobra: Outbank hat genauso das TÜV Siegel erhalten und wurde erst danach etwas sicherer als offensichtliche yfehler aufgedeckt worden sind. Der iCloud Sync funktioniert in iOutbank2 immernoch nicht, in dem Zwangsabo eingeführten iOutbank DE hat man es direkt ganz weg gelassen und die alte App wird nach und nach durch Zwangspause immer weiter unbrauchbar gemacht. Mittlerweile MUSS man die dämlichen News lesen. Es kommt jedesmal ein Popup mit „jetzt“ oder „später“ lesen und in den Einstellungen ist der Button für diese News nutzlos geworden mit einem der letzten Updates. Nie wieder StoegerIT!!!
Wie sieht es mit Finanzblick aus? Kann da jemand was zu sagen?
Überleg doch nur mal kurz warum die App kostenlos ist. Womit verdienen die wohl ihr Geld!?
Mit dem Leerräumen von Kundenkonten? Mit der Weitergabe von Kundendaten, damit andere die Konten abräumen können? !it sonstigen verbrecherischen Machenschaften? Sag‘ doch einfach mal klipp und klar, was Du genau meinst, Du Hans, Du!
Ist sowas nicht als grob fahrlässig einzustufen und sollte mal verklagt werden? Sauerei so etwas im Jahr 2014.
Sollte das alles stimmen, sollte man den Laden dicht machen. Wer User so verarscht und so (heimlich) mit Kundendaten umgeht, ist definitiv falsch in dem Geschäft. Aber solange die Politik nichts tut und die User es morgen wieder vergessen haben bleibt alles beim alten.
Nutze am Mac Bank X 5 – läuft stabil. Sieht zwar etwas angestaubt aus, kann aber viel und ist sicher. Zudem ganz netter, persönlicher Support.
Übersieht hier eigentlich jeder auf dem Screenshot mit dem „Klartext“-Vorwurf, dass da HTTPS gesprochen wurde?
Wenn ich eine Verschlüsselung aufmache, kommt doch natürlich wieder der Klartext raus, das ist doch grade der Sinn von Verschlüsselung.
(Die Anfälligkeit ggü. MITM-Angriffen besteht natürlich weiterhin, aber es „Klartext-Übertragung“ findet da nicht statt.)
Wo wird da „https gesprochen“? Nur weil die URL mit https:// beginnt heißt das nicht, dass die Übertragung tatsächlich verschlüsselt abläuft, das sagt nur, dass der Port von 80 auf 443 umgeschaltet wird. Unverschlüsselt geht trotzdem und sonst wäre es ja auch nicht mitlesbar…
Genau, so sehe ich das auch! Klar kann man sich per Man-In-The-Middle reinhacken, zum Beispiel mittels MITM-Proxy, wofür man dann aber ein eigenes Zertifikat auf dem iPhone installieren muss. „Einfach-so“ geht das definitiv NICHT!
Abgesehen davon ist es mir lieber, wenn die PIN jedes mal neu (SSL-verschlüsselt) übertragen wird, anstatt dass Sie auf irgendwelchen schwindeligen Servern zwischengespeichert wird.
Eine kostenlose Banking App würde ich sowieso nie nutzen. Irgendwie müssen die ja Geld verdienen und das dann eben mit den Kundendaten.
Wie hätte man bitte ahnen können das eine kostenlose Banking App sowas mach. Ich glaube an nun an nicht mehr an das Gute
Tschüss Finanzblick – Willkommen banking 4i!
Ist ja stark. Da wird ein, zu Recht kritischer Artikel publiziert und dazu noch ein Link zu der Software, die hier kritisiert wird. Das lässt sich an Fahrlässigkeit kaum noch toppen, da man ja weiß das die meisten Nutzer die „Geiz ist geil“ Mentalität pflegen. Hauptsache umsonst und Hauptsache haben.
Gerade bei Bankingsoftware sollte man mal das Hirn einschalten. Entweder man gibt etwas Geld aus für eine vernünftige Software aus, nutzt einen Chipkartenleser für HBCi oder als letzte Möglichkeit macht man mal einen kleinen Spaziergang zur Bank. Kleiner Plausch mit der oder dem Angestellte(n) inklusive.
Ein gesundes Misstrauen sollte man bei Banking Software immer walten lassen. Ich nutze bestimmt keine Software einer Versicherung zum überweisen meiner hart verdienten Kohle.
„So bieten vier der zwei Eingesetzten Werbe-Tracker zwar die Möglichkeit zum Opt-Out an …“
Wohl eher anders herum: zwei von vier! ;-)
Vier von zwei Werbe-Tracker, dass sind 200%.
Ich weiß nicht was ihr wollt!!! Für die 8€ im Jahr ist jeder Missbrauch über alle Konten, Karten bei Cosmos für die ganze Familie abgesichert. Habe es geprüft. Die zahlen selbst bei grober Fahrlässigkeit. Nutze mobile TAN. Hier verwehrt meine Bank jegliche Haftung bei Missbrauch. Cosmos würde selbst dann einstehen wenn ich die PIN auf die EC Karte schreibe. Ich bin wirklich dankbar für den Artikel, aber eine vollständige Recherche wäre besser….
10.000 € Absicherung sind ein (schlechter) Witz. Das genügt vielleicht, um ein Gehaltskonto zu reparieren. Aber wenn jemand via MITM die PIN/TAN abgreift, dann hört er beim Girokonto nicht auf. Und bei Tagesgeld, Festgeld oder gar Investmentdepots reichen 10K dann nicht mehr aus.
Und wo bitte ist jetzt der Link zum Blogeintrag von Securityhandle? Ihr verlinkt auf zweifelhafte Apps aber nicht auf die Quelle eures Artikels? Bitte nachbessern.
Um etwas Sachlichkeit in das finanzblick-Bashing zu bringen, empfehle ich einen Blick in die ausführlichen und verständlich formulierten Datenschutzbestimmungen. Wer keinen finanzblick-Account hat, kein Screen-Parsing nutzt und auch nur die iOS-App benutzt (nicht Android), hat m.E. bei finanzblick nicht die Probleme des hier auch aus meiner Sicht zurecht kritisierten FinanzAssist zubefürchten:
https://www.finanzblick.de/datenschutz/
„Ihre personenbezogenen Daten werden dabei ausschließlich lokal auf Ihrem mobilen Endgerät verschlüsselt gespeichert. “
„Wenn Sie finanzblick über iOS-Apps (iPad/iPhone) nutzen, erfolgt die Durchführung von Online-Banking regelmäßig direkt zwischen Ihrem mobilen Endgerät (iPad/iPhone) und Ihrer Bank.“