Allgemein

Marketing vor Sicherheit: Wie das Fintech N26 Vertrauen verspielt
  • Lars Reppesgaard
  • 69 Views
  • 0 Comment
  • 33c3 . Banken . Fintech . Hack . N26 . Sicherheit . Usability . Vertrauen . Vincent Haupert .

N26 ist nicht irgendein Fintech. Es ist eines der wenigen Start-ups mit einer eigenen Banklizenz und mit 200.000 Kunden einer der Senkrechtstarter in diesem Bereich. Ein gutes, übersichtliches Design zeichnet die N26- App aus sowie ein kompromissloser Fokus auf einfache Usability. Das Thema Marketing beherrscht N26 auch: Anspruch ist es, dass die App der zentrale Anlaufpunkt für alle Bankgeschäfte des Nutzers wird.

In einer Disziplin schwächelt N26 aber extrem: Beim Thema Sicherheit.

Wie groß die konzeptionellen und technischen Schwächen der App sind, wurde beim Vortrag des IT-Sicherheitsforschers Vincent Haupert von der Universität Erlangen-Nürnberg deutlich.

„N26 wirbt damit, dass es nur acht Minuten dauert, dort ein Bankkonto zu eröffnen. Es zu verlieren geht sogar noch schneller“, sagte er – und wies dann im Minutentakt in der App selbst und in den Prozessen zur Übertragung von Daten eine Schwachstelle nach der anderen nach.

Diese erlaubten es, Transaktionen zu manipulieren, etwa Überweisungen an ein anderes Konto mit einem ganz anderen Betrag umlenken. N26 verhindert nicht, dass Nutzerdaten ausgelesen und Konten gekapert werden können.

Dabei waren die Angriffe, die Haupert durchführte, keineswegs Hightech-Attacken. Wer sich für die technischen Hintergründe interessiert, der sei auf das Video des Vortrags verwiesen. Es waren relativ banale Verfahren, die klar und deutlich enthüllten, dass man entweder beim Design der App beim Thema Sicherheit ohne nötige Kompetenz vorging oder dem Thema nicht genug Beachtung geschenkt hatte.

Kunden vertrauen den Fintechs oft blind

Für die Nutzer von Fintech-Apps ist das ein bedrohlicher Befund. Schließlich vertrauen sie den Anbietern extrem sensible Informationen an. Es geht um ihr Vermögen, ihre Kontodaten, ihre Geldanlage. Bei vielen Einsatzszenarien für Apps mag es ausreichen, allein in tolle Oberflächen und Marketing zu investieren.

Bei Bankgeschäften ist das die falsche Strategie. Aber bisher kommen die Fintechs mit ihrem Fokus auf Marketing und schicke Oberflächen bei den Kunden ungeschoren davon. (Auch wenn man hier natürlich fragen muss, was die BaFin eigentlich prüft, wenn sie an ein Unternehmen wie N26 eine Banklizenz vergibt.)

Eine Frage der Prioritäten

„Bei FinTechs wie N26 lässt sich beobachten, dass sie auf der Welle des Vertrauens reiten, die die alteingesessenen Kreditinstitute über die Zeit mühsam angestaut haben. Obwohl sie faktisch keinen Beitrag zu diesem Vertrauensverhältnis leisten, profitieren sie von dem Image, das mit ihnen als Bank assoziiert wird. Dadurch können sie die etablierten Banken mit hippem Design und innovativen Authentifizierungslösungen angreifen, ohne dass ernsthaft jemand die Sicherheit des Systems bezweifelt“, bewertet Haupert auf netzpolitik.org das Vorgehen.

Für die klassischen Banken könnte es eine gute Nachricht sein, dass ein Fintech wie N26 bei dem zentralsten Thema beim Banking schlampen. Viele Banken sind gerade dabei, bei der Entwicklung eigener Apps die Muster der Fintechs zu kopieren, indem sie beispielsweise bei der App-Entwicklung ihren sehr starken Sicherheitsfokus ein Stück weit zugunsten des Nutzerkomforts verschieben.

Cool ist nicht genug

Kann andererseits N26 beim Thema Sicherheit schnell genug zu lernen, um nicht nur cool zu sein, sondern sich tatsächlich ein solider Anbieter für Bankgeschichte weiterzuentwickeln? Noch sieht es nicht so aus. Das Unternehmen schreibt aktuell zu den Hinweisen des Sicherheitsvorschers (die er schon im September, lange vor dem Vortrag, dem Unternehmen mitgeteilt hatte): „Die Sicherheit eures Kontos und eurer Daten haben für uns oberste Priorität.“

Ein Blick auf die Stellenanzeigen von N26 legt nahe, dass diese Worte nur heiße Luft sind. Haupert schloss seinen Vortrag mit der Beobachtung, dass N26 derzeit mehr als 40 offene Stellen besetzen will. „Darunter ist nicht eine, die sich dem Thema Sicherheit widmet.“

Man darf gespannt sein, wie potentielle Kunden in Zukunft diese Schwerpunktsetzung bewerten werden. Klar ist jedenfalls: Gute Kommunikation ist nicht alles. Auch wenn soziale Vernetzung und Digitalisierung oft vom Thema Nutzerkomfort getrieben werden, ist jedes Unternehmen schlecht beraten, dass sich nur auf Usability und Marketing bei der Entwicklung von Apps und allen anderen Webdiensten konzentriert. Unter der Oberfläche darf sich nicht nur heiße Luft befinden.

0 COMMENTS
Kommentar hinterlassen

Folgen

Holen Sie sich jeden neuen Beitrag in diesem Blog in Ihren Posteingang.

Anmelden: