Wie sicher sind Banking Mobile Apps im Test?
Eine europaweite Sicherheitsstudie bietet Einblicke – kartensicherheit.de fragt beim Herausgeber nach. Im Interview mit Thilo Pannen, Geschäftsführer der eShard GmbH, zeigt sich, warum das Thema Banking App Security jetzt unbedingt auf die Tagesordnung unserer Branche gehört.
Als unabhängiges Unternehmen widmet sich eShard u.a. der Sicherheit von Mobile Apps und Backend-Systemen. Für die kürzlich veröffentlichte Studie „European Mobile Banking Apps Security Benchmark“ wurden mehr als 120 dieser Apps ausgewählt und im Hinblick auf deren Schutzmaßnahmen untersucht, mit Tausenden von Testergebnissen.
Hand aufs Herz, Herr Pannen, bei welchen Testergebnissen haben Sie gedacht: „Das hätte ich so nicht erwartet!“?
„Überrascht haben mich die großen Unterschiede in den Testergebnissen, für die es auf den ersten Blick keine offenkundige Erklärung gibt. Interessanterweise sind auch Unterschiede zwischen den Apps verschiedener Länder erkennbar, aber auch innerhalb einzelner Länder.
Die Studie zeigt, dass Mobile Banking Apps insgesamt nur recht begrenzt auf fortgeschrittene Tests (für die Expert:innen: Erkennung von „rooted devices“ oder Schutz gegen „Code Tampering“) reagieren.
Erwartbare sichtbare Reaktionen sind:
• Die App bleibt stehen bzw. stürzt ab, oder
• die App gibt eine Warnung an den Benutzer oder die Benutzerin aus.
Fast 100 Apps (= 83 %) haben auf keinen einzigen der 14 Tests in der Kategorie „Root Detection“ sichtbar reagiert. Vereinfacht gesagt: die mobile Apps liefen auf einem modifizierten und nicht vertrauenswürdigen Android-System weiter, ohne dass der Benutzer darüber in Kenntnis gesetzt wurde.
Die Ergebnisse deuten aus meiner Sicht darauf hin, dass das Thema mobile App-Sicherheit in der ansonsten stark regulierten Bankenbranche noch nicht oben auf der Tagesordnung steht, obwohl mobile Apps als DIE digitale Schnittstelle zu Kund:innen immer wichtiger werden.“
Zur Cyber-Sicherheitsprüfung sind messbare Testkategorien und Benchmarks für objektive Vergleiche einzurichten. Wie sind Sie bei den Mobile Banking Apps vorgegangen?
„Für den Benchmark haben wir uns an den Tests und Testkategorien des international anerkannten OWASP Mobile App Security Verification Standard Level 2 + R (für: Resiliency) orientiert, der auch für Banking Apps mit einem hohen Schutzbedarf empfohlen wird.
Zur Umsetzung wurden 120 mobile Banking Apps für die Android-Plattform aus 11 Ländern zufällig ausgewählt und mit dem eigenentwickelten Mobile Application Security Testing Tool „esChecker“ getestet.
Jede einzelne App wurde fast 100 Tests unterzogen, von denen 33 Tests dynamischer Natur sind. Das bedeutet, dass diese Tests zu einem vorher festgelegten Zeitpunkt und während der Ausführung der App durch „esChecker“ ausgeführt werden. Der standardisierte Ablauf der Tests war eine zentrale Anforderung während des Untersuchungsprozesses, da nur so die sehr gute Vergleichbarkeit der Ergebnisse erreicht werden kann.“
Wie ließe sich die Bedeutung der ganzen Untersuchung anschaulich beschreiben – mit Rücksicht darauf, dass unsere Leserschaft nicht komplett aus Fachleuten für Software und Cybersicherheit besteht?
„Mobile Apps dringen immer weiter in unser tägliches Leben vor und werden zu unverzichtbaren Begleitern. Das gilt natürlich nicht nur für das Umfeld Banken/Sparkassen oder Bezahlen, die Digitalisierung schreitet auch in vielen anderen Lebensbereichen schnell voran. Jüngste Beispiele sind das eRezept sowie die mobile Ausweis- oder Führerschein-App.
Benutzer:innen vertrauen auf den angemessenen Schutz ihrer Daten durch Anbieter- und Betreiberfirmen, das hat ein Mitte des Jahres veröffentlichtes Gutachten der Verbraucherzentrale Bundesverband (VZBV) zum digitalen Zahlungsverkehr gezeigt.
Die vorliegende Studie legt nun nahe, dass einige Ansatzpunkte zur Verbesserung der Schutzmaßnahmen vorhanden sind.“
Wie schneidet Deutschland im europäischen Vergleich ab?
„Ginge es bei unserer Studie um Europameister-Titel, so hätte sich das “Team” der 11 deutschen Banken-Apps einen Platz auf dem Treppchen verdient. Das ist aller Ehren wert, sollte aber kein Grund zum Ausruhen sein. Der dritte Platz bei der Europameisterschaft sichert schließlich noch kein gutes Abschneiden in einer Weltmeisterschaft.“
Was sagen Sie als privater Verbraucher zu den Studienergebnissen?
„Als Verbraucher würde ich mir wünschen, dass – angesichts der zunehmenden Verbreitung und Nutzung von mobilen Anwendungen – dem Schutz meiner Daten und Anwendungen ein größerer Stellenwert beigemessen wird. Es sieht so aus, dass bislang noch nicht alle möglichen Maßnahmen ausgeschöpft sind.
Ich begrüße die neuen Angebote und staune regelmäßig über die Fortschritte und technischen Möglichkeiten. Aber bitte Digitalisierung mit Augenmaß: Ein wenig mehr Sorgfalt und kritische Prüfungen vorab können zwar zu Lasten der Innovationsgeschwindigkeit gehen, leisten aber umgekehrt einen wichtigen Beitrag zur Stärkung des Vertrauens in neue Technologien und Anwendungen.“
Mit dem Wissen aus der Studie haben Sie am EHI Payment Kongress und der Omnisecure in Berlin teilgenommen. Welche Insights oder Impulse für das Thema Mobile Banking Apps haben Sie mittlerweile neu dazugewonnen?
„Zusammenfassend lässt sich feststellen, dass die Themen Sicherheit von mobilen Anwendungen und Schutz der Benutzer:innendaten auf der Tagesordnung stehen. Wir sehen eine gesunde Basis, und viele Hausaufgaben sind erledigt.
Aber die Themen genießen aus meiner Sicht (noch) nicht den Stellenwert, den diese angesichts der sehr großen Bedeutung sowohl für die Unternehmensseite wie auch für Anwender:innen haben sollten. Ich sehe einen Nachholbedarf und Verbesserungsmöglichkeiten, denen sich die Angebotsgestaltung alsbald zuwenden sollte.
Die girocard genießt in Deutschland ein sehr hohes Ansehen bei den Karteninhaber:innen und ist nicht umsonst das beliebteste Zahlungsmittel, weil es einfach und vor allem sicher ist. Daher eignet sich diese sehr gut als Vorbild auch für die mobile Welt.“
Herr Pannen, wir bedanken uns sehr herzlich für das interessante Interview!
Die Kurzfassung der Studie als White Paper können Sie hier herunterladen; auch den umfassenden Bericht kann Ihnen der Herausgeber später zur Verfügung stellen.