Security

Sparkassen-App: Daten anderer Banken werden ungefragt auf Server gespeichert

Das Blog "Securityhandle" hat herausgefunden, dass die App Sparkasse+ ungefragt Bankdaten auf einem Server des App-Entwicklers Star Finanz hinterlegt – auch die Daten anderer Banken.

04.06.2014, 14:01 Uhr
Datenübertragung© envfx / Fotolia.com

Ein renommiertes Geldinstitut und eine TÜV-Prüfung sind noch keine Garantie, dass mit den Daten alles so geschieht, wie es den Anschein hat. Das Blog Securityhandle hat herausgefunden, dass die App Sparkasse+ ungefragt Bankdaten auf einem Server des App-Entwicklers Star Finanz hinterlegt – auch die Daten anderer Banken.

Andere Apps des Entwicklers klären auf

Die App Sparkasse+ ist multibankenfähig. Auch wenn sie den Namen der Sparkasse trägt, so lassen sich mit ihr dennoch Konten bei anderen Banken verwalten. Die App kommuniziert dann direkt mit dieser Bank. Die iOS-Version der App jedoch "überträgt ungefragt sämtliche Kontonummern und Kreditkartennummern samt Benutzerkennung aller eingerichteten Banken, egal ob bei der Sparkasse oder nicht, an einen Server der StarFinanz", so Securityhandle.

Das erste Problem dabei ist lediglich die fehlende Erlaubnis, denn die unter dem Namen des Entwicklers herausgegebene App "StarFinanz" enthält einen entsprechenden Hinweis. Der Nutzer wird ausreichend informiert, um entscheiden zu können, ob er die App unter diesen Umständen nutzen möchte oder nicht.

Server nicht auf aktuellem Stand

Das zweite Problem ist die Sicherheit des Servers. Die Sparkassen-App wurde vom TÜV Saarland geprüft. In der Beschreibung heißt es: "Sparkasse+ kommuniziert über direkte, verschlüsselte Schnittstellen mit Ihrem Kreditinstitut und sorgt für einen sicheren Datentransfer nach den deutschen Vorgaben zum Online-Banking. Alle Daten werden verschlüsselt gespeichert."

Mehr hat der TÜV Saarland anscheinend auch nicht geprüft, denn wie Securityhandle weiter herausfand, läuft der Server unter einer Standard-Installation von Tomcat 7.0.33. Diese Version ist über ein Jahr alt, diverse Sicherheitslücken sind bekannt.

Die Sparkasse nimmt gegenüber Securityhandle in drei Tweets Stellung: "Die Daten werden wie geschildert übertragen, um individuelle Funktionen und Institutsmitteilungen anbieten zu können. Die eingesetzte Verschlüsselung ist sicher: Der Server steht im Bankrechenzentrum und bietet Zusatzbankdienste. Daten werden nicht dauerhaft gespeichert. Eine Aktualisierung der Serverkonfiguration ist in Kürze geplant."

Alle Artikel zur App Sparkasse+ im Überblick:

  • Sparkassen-App: Daten anderer Banken werden ungefragt auf Server gespeichert
  • Sparkasse: Katastrophale Kommunikation zu Sicherheitsfragen
  • App Sparkasse+ wird überarbeitet – Blogger mit Kritik erfolgreich
  • (Peter Giesecke)

    Kommentieren Forum
    Zum Seitenanfang