Es gibt kaum einen Bereich, in dem fehlerhafte Apps oder mangelnder Datenschutz so viel Unheil anrichten können wie im mobilen Banking. Man sollte also meinen, Banken tun alles, um Kunden zu schützen und von ihrer Vertrauenswürdigkeit zu überzeugen. Tun sie aber beileibe nicht immer.

Auf dem diesjährigen Chaos Communication Congress in Hamburg (31C3) zeigten gleich zwei Redner, wie fahrlässig Banken mitunter mit Kundendaten umgehen. Die französischen Sicherheitsforscher Eric Filiol und Paul Irolla vom Krypto-Institut der ESIEA (École Supérieure d'Informatique, Électronique, Automatique) zeigten in ihrem Vortrag am Samstagabend die Schwächen von 27 Apps großer Bankenhäuser auf, darunter auch die Deutsche Bank und die Commerzbank.

Die Forscher bauten dafür im Rahmen des DAVFI-Projekts (Defence Anti Virus France International) die Apps der Banken im Labor nach. Dieser Ansatz ist unter Sicherheitsforschern als reverse engineering bekannt. Filiol sagt, für den Nachbau habe man pro App etwa einen halben Tag gebraucht. Anschließend prüften sie, was die Apps alles können. Dabei stellte sich heraus, dass viele Apps vom Funktionsumfang ganz ähnlich wie klassische Malware, also Schadprogramme, ausgestattet waren. Die Ergebnisse waren in zweierlei Hinsicht bedenklich.

Die Apps erheben zu viele Daten und sind zum Teil unsicher

Zum einen können fast alle Banking-Apps mehr als sie eigentlich müssten: So laden 96 Prozent aller getesteten Banking-Apps Daten aus dem Internet aufs Handy. In den meisten Fällen werden das Daten für Updates sein. Es ist laut Filiol jedoch genauso gut ein Einfallstor für manipulierte Daten. Mehr als die Hälfte der Apps wollten außerdem das Betriebssystem nebst jeweiliger Version sowie die IMEI-Nummer des Handys wissen. Die IMEI ist eine Art Seriennummer des Handys und ermöglicht im Grunde eine eindeutige Identifizierung des Nutzers.

Das alles sind Daten, die eine App nicht unbedingt braucht, um zu funktionieren. Daten, die die Bank sichern muss und die sie im Zweifel nichts angehen. Denn die Identifikation für das Online-Banking läuft in den meisten Fällen über Benutzername und ein Passwort. Viele der Banking-Apps erheben deshalb keine zusätzliche Informationen wie die IMEI-Nummer. Die App der russischen Sberbank scannt darüber hinaus sogar alle Netzwerke in der Umgebung des Nutzers und schickt die Liste auf die Yandex-Server. Auch das ist unnötig.

Banken reagieren behäbig

Einige der Banking-Apps sind aber auch einfach schlecht programmiert. Die App der amerikanischen BankJP Morgan enthält zum Beispiel den Code einer Backdoor. Durch eine solche Hintertür kann die Bank jederzeit von überall auf der Welt auf das Smartphone des Kunden zugreifen. Wie umfangreich dieser Zugriff ist und für welche Zwecke JP Morgan derart weitgehende Rechte benötigt, ließen die Forscher offen. Gelangt ein derartiger Zugang in die falschen Hände, wäre der Schaden jedoch immens. Dies ist umso besorgniserregender als die Bank erst im Oktober dieses Jahres Opfer eines umfangreichen Hacks wurde. Dabei stahlen die Täter Daten von 83 Millionen Kunden.

Die App der französischen Bank BNP Paribas ist anfällig für Man-in-the-middle-Attacken. Bei diesen Attacken schaltet sich ein Angreifer zwischen zwei kommunizierende Stellen, in dem Fall dem Nutzer und der Bank. Sämtlicher Datenverkehr läuft dann über den Mittelmann, der alles mitlesen kann.

Filiol und Irolla wollen die genauen Ergebnisse in einigen Wochen veröffentlichen. Sie warten noch die Reaktionen einiger Banken ab. Die Zusammenarbeit ist laut Filiol ein Graus: "Oft war es schlicht unmöglich, überhaupt einen Ansprechpartner bei den Banken zu finden", sagt der Forscher im Gespräch mit ZEIT ONLINE. Bei der Hotline der britischen Bank HSBC habe man ihn auf die Homepage von HSBC verwiesen. Dort stand schlicht "Der Service der Bank ist sicher".