Sparkasse: Katastrophale Kommunikation zu Sicherheitsfragen
Das Blog Securityhandle hat herausgefunden, dass die App Sparkasse+ ungefragt Bankdaten auf einem Server des App-Entwicklers Star Finanz hinterlegt – auch die Daten anderer Banken. Auf eine Anfrage des Autors MSA per Twitter, fiel die Antwort dort naturgemäß kurz aus. Jetzt hat er auch eine längere Antwort erhalten und diese in seinem Blog veröffentlicht. Auf die konkreten Sicherheitsbedenken wird dabei allerdings nicht eingegangen.
Das Verfahren sei zudem vom TÜV Saarland geprüft worden. Der Server, auf dem die ungefragt übertragenen Daten abgelegt werden, stehe in einem Bankrechenzentrum der Sparkassen.
So geht der IT-Dienstleister der Sparkasse nicht darauf ein, warum mehr Daten als notwendig übertragen werden. Es wird auch nicht gesagt, was genau damit geschieht. Unerwähnt bleibt auch, dass auf dem Server veraltete Software läuft.
Das Unternehmen Finanz Informatik stellt Antworten zu diesen sicherheitsrelevanten Fragen innerhalb einer Woche in Aussicht.
Alle Artikel zur App Sparkasse+ im Überblick:Sparkassen-App: Daten anderer Banken werden ungefragt auf Server gespeichert Sparkasse: Katastrophale Kommunikation zu Sicherheitsfragen App Sparkasse+ wird überarbeitet – Blogger mit Kritik erfolgreich
Keine neuen Antworten
In der Stellungnahme des Unternehmens Finanz Informatik, dem IT-Dienstleister der Sparkassen-Finanzgruppe, wird lediglich wiederholt, was bereits über Twitter gesagt wurde: Die Apps seien sicher. Es würden nur standardisierte Protokolle verwendet sowie verschlüsselte Verbindungen. Die Daten würden verschlüsselt gespeichert und per Passwort geschützt sowie nach der Verarbeitung gelöscht und nicht dauerhaft gespeichert.Das Verfahren sei zudem vom TÜV Saarland geprüft worden. Der Server, auf dem die ungefragt übertragenen Daten abgelegt werden, stehe in einem Bankrechenzentrum der Sparkassen.
Fragwürdige PR
Dies beantwortet allerdings keine der aufgeworfenen Fragen. Eine solche in der PR verbreitete Methode, unliebsame Antworten zu vermeiden, indem positive Aussagen zu anderen Details gemacht werden, ist angesichts von offenen Sicherheitsfragen katastrophal.So geht der IT-Dienstleister der Sparkasse nicht darauf ein, warum mehr Daten als notwendig übertragen werden. Es wird auch nicht gesagt, was genau damit geschieht. Unerwähnt bleibt auch, dass auf dem Server veraltete Software läuft.
Antwort auf sicherheitsrelevante Fragen innerhalb einer Woche
Securityhandle-Autor MSA präzisiert in seiner Antwort noch einmal die Sicherheitsproblematik. Er fragt unter anderem, ob mit den erhobenen Daten ein Profil des Kunden angelegt wird, das seine Konten bei anderen Banken einschließt. Er fragt konkret, warum in der App Sparkasse+ die Option fehlt, die Übertragung dieser Daten zu deaktivieren. Er fragt nach einer Datenschutzerklärung und ein weiteres Mal, weshalb in einem Rechenzentrum der Sparkasse ein Server mit veralteter Software steht.Das Unternehmen Finanz Informatik stellt Antworten zu diesen sicherheitsrelevanten Fragen innerhalb einer Woche in Aussicht.
Alle Artikel zur App Sparkasse+ im Überblick: