Banking-App FinanzAssist: Doch nicht so sicher?
Wir sind von den Jungs von Securityhandle angeschrieben worden. Sie weisen auf ihre Erkenntnisse in Bezug auf die Banking-App FinanzAssist hin. Eine kostenlose Banking-App, die sich den Claim „Die sicherste Online-Banking-App“ auf die Fahnen geschrieben hat, zudem ist man TÜV-zertifiziert.
FinanzAssist ist ein Angebot der Versicherung Cosmosdirekt und wie erwähnt kostenlos. Statt die Daten innerhalb der App zu speichern und die Bank direkt zu kontaktieren, laufen laut Aussagen von Securityhandle sämtliche Bankdaten inklusive PIN / TAN direkt über einen Server der Versicherung, zudem soll die App anfällig für Man-in-the-Middle-Attacken sein.
Weiterhin werden Finanzdaten im Klartext oder Base64 kodiert übertragen. FinanzAssist ist anscheinend auch keine komplette Eigenentwicklung, sondern soll Abhängigkeiten zu Buhl Data besitzen, mehrfach werden die Server des Unternehmens kontaktiert. Anmerkung am Rande: hinter Buhl Data versteckt sich auch die Banking-App Finanzblick.
Das Fazit in Sachen Sicherheit fällt demnach kritisch aus:
Unter den zertifizierenden Augen des TÜVs (“Datenschutz geprüft”) ist es also möglich mit der “sichersten Banking-App” FinanzAssist:
*seine Finanz(zugangs)daten nur SSL-verschlüsselt und ungeschützt gegen Man-In-The-Middle Angriffe im Klartext durch das Internet an einen Dritten zu schicken und damit gegen die AGBs der Banken zu verstoßen.
*das Kundenverhalten zu erfassen, wenn dieser nicht, sofern möglich, nachtraglich und aufwendig dagegen Einspruch erhebt.
*Server zu verwenden, die unterirdisch schlechte SSL Verbindungen zulasssen und damit weitere Angriffe möglich machen?
Falls euch die Ausführungen interessieren – und sie sind wirklich interessant, dann findet ihr hier den kompletten Beitrag.
Mal ganz unabhängig von dieser App, verstehe ich nicht, dass Leute die ZUGANGSDATEN zu ihrem Online Banking an Dritte geben. Vollkommen egal, ob die Daten auf dem Handy oder dem Server gespeichert werden. Man gibt die Daten an Dritte, somit haftet man im Falle eines Schadens mit.
Es gibt für nahezu jede Bank eine eigene Banking App. Nehmt die, wenn überhaupt. Wenn da was schief geht und was gehackt wird, haftet die Bank, nicht ihr.
^ So ist es. Ich würde nie im Leben auf ne Third Party banking App setzen. Die Banken haben alle ihre eigenen Apps.
Auf das Siegel „TÜV-geprüft“ oder „Datensicherheit TÜV-geprüft“ gebe ich mittlerweile nichts mehr, nachdem jetzt mehrfach Software oder Apps, die der TÜV per Prüfsiegel abgesegnet hatte, teils große Sicherheitslücken hatte. Ich frage mich, WAS da getestet wird und vor allem: wie seriös und wie genau. Für mich kommt diese neue Geschichte nicht mehr wirklich überraschend….
Liest sich mehr wie ein Trojaner (mit TÜV-Siegel), als eine sinnvolle App.
Mir ist es auch unklar, wie die Leute bei dem Wort „Kostenlos“ jedliche Denkprozesse einzustellen zu scheinen. Ob es nun die FinanzAssist, die populäre „Numbrs“ (iOS, in der Pro7Sat1Media seine Finger im Spiel hat) oder gar der so beliebte Dienst wie Sofortüberweisung.
Bei allen gibt man seine Zugangsdaten und Tans in Systemen Dritter ein. Und wenn dann das Konto leer geräumt ist, reibt sich die Bank die Hände. Die erstattet nicht einen müden Cent, da man selbst die Daten an Dritte gegeben hat.
Leute, schaltet das Hirn wieder ein und hört auf solche Systeme zu nutzen. Wer Bankingapps oder Finanzdienstleistung „kostenlos“ anbietet (Service-Apps von den entsprechenden Banken mal ausgenommen), lässt euch nur anders bezahlen! Mit euren Daten und eurer Sicherheit.
Kostenlos… ich würde es werbefianziert nennen.. Die Cosmos verkauft damit direkt eine Vesicherung gegen „Finanznhacking“
Eine von einer Versicherung kostenlos zu Verfügung gestellte Banking App…da läuten bei mir schon alle Alarmglocken.
„TÜV Rheinland“ sagt doch schon alles. Der Anbieter bekommt halt das Testergebnis für das er bezahlt…
Was zertifiziert da der TÜV eigentlich genau?
… und wer zertifiziert den TÜV?
Banking App einer Versicherung! HAHA
Dann wird das Konto leergeräumt und die Versicherung bietet dir eine Schadensversicherung an, damit du beim nächsten mal dagegen versichert bist 😀
@ Kai
Die DEKRA.
@ChrisLietze: Ganz ehrlich, wenn man nur ein oder zwei Konten hat, mag das ja noch gehen, aber wer mehrere Konten verwaltet wird über kurz oder lang immer dazu kommen, eine App für alles einzusetzen, sonst wird das viel zu aufwändig. Ein ganz guter Kompromiss ist es vielleicht noch, eine App seiner Bank zu nutzen, die auch die Verwaltung von Konten anderer Institute ermöglicht. Leider aber bietet das nicht jede App.
Sorry, aber für Bankgeschäfte würde ich niemals eine App auf meinem Smartphone benutzen.
Ich schon, aber nur die offizielle meiner Bank. Ansonsten ist mein Smartphone immer noch weniger angreifbar als der Browser auf meinem PC. Werganz paranoid ist kann natürlich auch Überweisungsträger ausfüllen oder alles bar zahlen :p
Nur ein Klon von finanzblick :/
Auf TÜV zertifiziert kann man heutzutage nichts mehr geben, ich nutze die Sparkassen App und bin damit auch eigentlich zufrieden. Ich hatte mir einmal die App von buhl installiert als ich aber gelesen hab das meine Daten über die buhl Server laufen sollen flog sie gleich wieder runter, denn das geht überhaupt nicht warum soll ich den meine Daten geben.
Danke für diesen interessanten Artikel, caschy!
Unglaublich… Mir kommt sowas sowieso nicht auf’s Handy, aber dass es auch noch zertifiziert wird…
Viele Spassvögel hier. Geb ich Euch allen mal ne Denkaufgabe: Habe 3 Banken, dich ich verwalten möchte. Bin im Aussendienst mit Laptop unterwegs , auf dem keine Programme installiert werden können…ach ja, und ich brauche für meinen StB möglichst monatl. Auszuge der Konten.
DAS ist z.B. ein Grund , warum man nach browser-basiertem Banking sucht….