Eine Untersuchung hat Unglaubliches ans Licht gebracht: Fintechs nehmen es mit der Sicherheit nicht immer so genau. Neben veralteter Software und vergessenen Subdomains könnten auch unzureichend sichere Apps zum Problem für den Nutzer werden.
Tech-Unternehmen schwächeln bei Sicherheit
Große App-Un-Sicherheiten bei den 100 erfolgreichsten Fintech-Startups.
Von innovativen Tech-Unternehmen könnte man eigentlich hohe Sicherheitsstandards bei ihren Produkten erwarten. Das Gegenteil ist leider oft der Fall. Laut einer Untersuchung der 100 größten Fintechs stellten Analysten von ImmuniWeb bei jeder Firma mindestens ein Problem fest, das zulasten der Sicherheit geht.
Zu den Mängeln gehören etwa veraltete Software auf vergessenen Subdomains oder deutliche Schwachstellen bei den Mobile-Apps. Lediglich zwei der untersuchten Fintechs konnten die Anforderungen an Verschlüsselung, Sicherheit und Datenschutz auf ihren Haupt-Webseiten erfüllen.
Keine App ohne Fehler
Die Analysten untersuchten bei ihren Tests die Firmen-Webseiten inklusive aller Subdomains und erkennbarer API-Endpunkte. Auch die mobilen Applikationen wurden unter die Lupe genommen. Im Fokus standen dabei folgende Themen:
- Sicherheit der aktuell zum Einsatz kommenden Software,
- Konfiguration der SSL-Verschlüsselung zum Server,
- Möglichkeit, Phishing-Angriffe gegen die Betreiber der Webseiten und Apps zu starten,
- Einhalten der EU-GSDVO und des Kreditkarten-Datenverarbeitungsstandards PCI DSS.
Das Ergebnis: Bei allen untersuchten Mobile-Apps wurde mindestens eine Sicherheitslücke von mittlerem Schweregrad entdeckt. Nahezu alle Anwendungen wiesen mindestens eine Lücke mit hohem Risiko auf. Zudem übermittelten über die Hälfte aller Server-Backendsysteme Daten an Dritte. Dabei handelte es sich teilweise um Datenschutzprobleme, teilweise auch um gefährliche Sicherheitslücken, die weitere Angriffe erleichtern.
Es gibt auch positive Tendenzen
Es gibt aber auch positive Ergebnisse. Die Fintechs Brex und N26 konnten sich Bestnoten für ihre Hauptwebseite sichern. Bei der SSL-Sicherheit wurden bis auf eine Ausnahme alle Fintechs mit den Bestnoten A und A+ bewertet. Das Startup, das diese Note nicht erreichen konnte, erhielt aber immerhin ein gutes B.
Zudem erzielten die 100 Startups insgesamt in nahezu jedem Punkt bessere Noten als die ersten 100 Kreditinstitute aus der S&P-Global-Liste der größten Banken. Dennoch gilt sowohl für herkömmliche Banken als auch für Fintechs in Zukunft, etwas genauer auf die Sicherheit ihrer Services zu achten.
