Nachgefragt

N26: Hat das Banking per Siri eine Sicherheitslücke?

Die Smartphone-Bank N26 bietet seit einigen Tagen den Geldtransfer per Siri-Sprachbefehl, Geld kann auch per iMessage von Freunden angefordert werden. Ein teltarif.de-Leser hat eine Lücke entdeckt - doch wie schlimm ist sie tatsächlich?
Von

Geld senden per N26 und Siri unter iOS 10 Geld senden per N26 und Siri unter iOS 10
Bild: N26 Seit der Gründung im Jahr 2013 ist es die Zielsetzung der Bank N26 (bis Juli 2016: Number26), die Bankgeschäfte für die eigenen Nutzer komplett aufs Smartphone zu verlegen. Andere Kommunikationswege sollen nicht mehr notwendig sein. Gleichzeitig mit dem Release von Apples iOS10 wollte N26 den Bankkunden beispielsweise die Nutzung der Vorteile von Siri und iMessage für seine Kunden ermöglichen. Seit dem 13. September können die Nutzer von N26 per Siri-Sprachbefehl Geld an Freunde senden.

Offenbar gibt es dabei aber Szenarien, bei denen der Geldtransfer ohne weitere Nachfrage durchgeführt wird. Ein teltarif.de-Leser, der das System testete, schickte seine Beobachtungen an unsere Redaktion. Eine Sprecherin von N26 erläuterte daraufhin, welches Risiko tatsächlich besteht und wer im Schadensfall haftet. Geld senden per N26 und Siri unter iOS 10 Geld senden per N26 und Siri unter iOS 10
Bild: N26

Geld-Transaktion per Siri ohne weitere Nachfrage

N26 ist nach eigenen Angaben die erste Bank in Deutschland, die Finanz-Transaktionen per Sprachsteuerung anbietet. Dafür ist es notwendig, dass die Kunden die neueste Version der N26-App installiert haben. Für den Geldtransfer muss der Kunde einfach folgenden Wortlaut zur Apple-Assistentin sagen: "Hey Siri, sende 10 Euro an Peter mit N26". So kann man beispielsweise geliehenes Geld zurückzahlen oder schnell den Kindern Geld aufs leere Konto schicken.

Auch die Anforderung von Geld bei Bekannten und Verwandten ist damit möglich: Zunächst müssen Kunden hierfür die N26-App zu iMessage hinzufügen oder in den Siri-Einstellungen aktivieren. In iMessage kann der Kunde dann mit wenigen Klicks Geld von den anderen N26-Kontakten anfragen. Pro Transaktion sind maximal 25 Euro und pro Tag 100 Euro möglich.

Der teltarif.de-Leser, der das System getestet hat, schildert seine Beobachtungen in diesem Bericht:

Gestern Abend haben ein Freund und ich eine doch sehr gravierende Sicherheitslücke in iOS 10 entdeckt. Das neue Betriebssystem sieht ja vor, über Siri mit N26 Geld an Freunde zu verschicken. Das funktioniert teils nicht so gut, wie wir festgestellt haben. Beispielsweise aber erkennt Siri - meist nach mehreren Versuchen: 'Sende Lieschen Müller 20 Euro für das Mittagessen mit N26'. Das wird dann auch angezeigt, man bestätigt mit einem Tip auf JA - die Überweisung wird erstellt und im Display angezeigt - im weiteren Verlauf ist aber nicht mehr die Eingabe des eigentlich notwendigen N26-Überweisungs-PINs notwendig - die Überweisung wird einfach ausgeführt und das Geld vom Konto abgebucht. Es wird auch nicht der iPhone Entsperrcode oder der Fingerabdruck gefordert.
Ich empfinde das als gravierende Sicherheitslücke. iPhone-Nutzer, deren N26-Konto vielleicht das Hauptgirokonto ist, sind gefährdet. Bei unberechtigtem Zugriff auf das iPhone kann ein anderer Nutzer so ganz einfach Geld vom N26-Konto auf sein eigenes transferieren. In diesem Fall war das eine N26-zu-N26 Transaktion. N26 kann offensichtlich über die Nennung des Empfängernamens feststellen, ob der Empfänger auch bei N26 ein Konto hat. Wir haben auch probiert, Geld an einen Namen zu senden, dessen N26-Konto mal bestand, aber zwischenzeitlich gekündigt wurde. Auch in diesem Fall wird das Geld ohne weitere PIN-Eingabe vom Konto weggebucht - und der Empfänger erhält eine E-Mail, in der steht, dass er Geld empfangen habe - er möge bitte ein N26-Konto eröffnen, um das Geld anzunehmen. Dennoch wurde das Geld aber beim Absender weggebucht. Die Empfänger-E-Mail-Adresse war im Adressbuch des Absenders gespeichert.

Das sagt N26 zu dem geschilderten Problem

teltarif.de wandte sich mit der Geschichte an N26, um zu erfahren, was es mit diesem Service auf sich habe. Wir fragten, ob diese Vorgehensweise tatsächlich so geplant gewesen sei oder ob das tatsächlich eine Sicherheitslücke wäre. Außerdem wollten wir wissen, ob N26 kein Risiko des Missbrauchs bei diesem Prozedere sieht und ob es geplant sei, diese Funktion durch weitere Mechanismen abzusichern. N26 antwortete uns darauf:

Beim Test ist dem Leser ein Fehler unterlaufen. Um mit Siri eine Überweisung zu tätigen, muss das iPhone entsperrt sein. Wer Siri auf einem gesperrten Gerät anspricht, wird von ihr darum gebeten das iPhone per Fingerabdruck oder Code zu entsperren. Der Kontonutzer des verknüpften Gerätes muss zusätzlich in die N26-App im Hintergrund eingeloggt sein. Außerdem funktionieren Payments nur auf dem Gerät, das mit dem entsprechenden N26-Konto verknüpft ist. Die Beträge für Payments mit Siri sind zudem limitiert und entsprechen den bewährten Limits von NFC, also 25 Euro pro Payment und 100 Euro pro Tag. Im Falle von Siri erfolgen diese Zahlungen aber mit dem Smartphone anstatt mit einer NFC-fähigen Karte. Bei dem letzten Beispiel mit dem nicht länger existierenden Konto ist es so, dass das Geld für 7 Tage reserviert wird. Wenn der Empfänger das Geld nicht annimmt, dann wird es wieder auf das Konto des Senders zurücküberwiesen.

Diese Stellungnahme beantwortete immerhin einige der Fragen. Wir hakten aber nach und konstruierten den nicht ganz unwahrscheinlichen Fall, dass jemand sein iPhone verliert, bei dem der N26-Kunde im Hintergrund in die N26-App eingeloggt ist, eine Koppelung mit iMessage stattgefunden hat und das iPhone nicht per Code oder Fingerabdruck gesichert ist, sondern gar nicht. Wir wollten wissen, welche Sicherungsmaßnahmen es für diesen Fall gibt und wer im Falle eines Schadens haftet. Hierzu schrieb N26:

Wir weisen explizit in unseren AGBs unter 8. darauf hin, dass das Authentifizierungsinstrument, also das Smartphone, das mit dem Konto verknüpft ist, sowie die Zugangsdaten vor Dritten geschützt werden müssen. Wer Opfer von Betrug wurde, im Falle einer gestohlenen Karte beispielsweise, kann sich an unseren Support wenden. Das Geld wird nach Prüfung des Falls dann auch zurückerstattet. Weitere Informationen dazu gibt es in unserem Support Center hier.

Das Problem besteht also tatsächlich dann, wenn jemandem sein iPhone mit iOS 10 ohne Sperre mit iMessage-Koppelung und eingeloggter N26-App abhanden kommt. Der Dieb oder Finder des iPhones könnte dann per Sprachbefehl Überweisungen durchführen. Wendet sich der Kunde aber unverzüglich an den Kundenservice der Bank, kann der Schaden bei maximal 25 Euro pro Bezahlvorgang und 100 Euro pro Tag liegen. Denn für darüber hinausgehende Beträge wird laut Aussage von N26 auch bei der Transaktion per Siri sicherheitshalber ein N26-Überweisungs-PIN abgefragt.

Wer Banking auf dem Handy nutzt, sollte also - egal bei welchem Dienstleister - niemals das Smartphone ohne wirksame Bildschirmsperre betreiben.

Mehr zum Thema Mobile Banking