Bezahlkarte für Geflüchtete: Forscher aus OWL finden Sicherheitslücken

In einer Stellungnahme an den WDR bestätigte petaFuel die Existenz der Sicherheitslücke in der App und teilte mit, diese als kritisch (im Sinn gültiger Industriestandards, nicht hinsichtlich einer Ausnutzbarkeit oder Gefährlichkeit) eingestuft zu haben:

„Dass im konkreten Fall gerade so ein banaler Fehler wie eine redirect-Lücke so passiert ist und durch das Netz der Reviews geschlüpft ist, ist natürlich besonders unglücklich", teilte das Unternehmen mit.

Den Vorwurf, dass Fremde den Log-In anderer Nutzer hätten übernehmen können, wies das Unternehmen aber zurück. Um das zu beweisen, hätten die beiden IT-Experten aus OWL einen solchen Angriff selbst simulieren müssen - das haben sie aber nicht getan.

Unternehmen wurden gewarnt

Sicherheitslücken kriminell auszunutzen, war auch nicht der Plan von Schäfers und Klee. Geld verdienen die Sicherheitsforscher mit den Ergebnissen ihrer Recherchen keines, obwohl sie etliche Stunden ihrer Freizeit in das Aufspüren der Schwachstellen investiert haben.

Ihr Ziel war es, Kriminellen bei der Entdeckung der Sicherheitslücken zuvorzukommen und die Unternehmen dann rechtzeitig zu warnen.

Dafür schrieben die beiden Forscher einen rund 40-seitigen Bericht, in dem sie den Bezahlkarten-Anbietern ihre Funde auflisteten und skizzierten, wie sie auf diese gestoßen waren.

Tracker übermitteln personenbezogene Daten an Google und Facebook

Neben der Suche nach Sicherheitslücken glichen sie auch die Quellcodes, also die Programmierung der Apps, mit den Angaben in den Datenschutzbestimmungen ab. Auch hier besteht nach ihrer Einschätzung Verbesserungsbedarf.

In der "SecuPay-App", der Online-Banking-App der Bezahlkarte "SocialCard", fanden Sie unter anderem elf Tracker, die ohne Einwilligung der Nutzer Daten sammeln und diese an Google und Facebook übermitteln.

Für Schäfers und Klee ein klarer Verstoß gegen die Datenschutzgrundverordnung und die Persönlichkeitsrechte von Asylbewerbern.

Unternehmen weisen Vorwürfe zurück

In einer gemeinsamen Stellungnahme an den WDR verneinen die Unternehmen jedoch, persönliche Daten weiterzugeben.

Bezüglich der Tracker heißt es dort: "Wir möchten darauf hinweisen, dass es Entwicklertools gibt, welche als Bibliotheken ("Libraries") betitelt werden, die für die (Weiter-)Entwicklung der App von großer Bedeutung sind, ohne dass bei deren Einsatz persönliche Daten gespeichert, ausgewertet oder weitergegeben werden."

Dennoch überarbeite man gerade die App und werde bald Updates zur Verfügung stellen, um "dennoch die hypothetische Möglichkeit einer Datenübertragung auszuschließen."

Schäfers und Klee haben allerdings bislang keine Veränderungen bei ihren App-Versionen festgestellt (Stand 07.05.). Ihrer Ansicht nach enthält die App weiterhin elf Tracker, die in der Datenschutzerklärung nicht erwähnt sind.

Wichtig ist: Für Ihre Untersuchungen haben sich Schäfers und Klee nur die Android-Versionen angesehen. Sie gehen davon aus, dass die iOS-Versionen der Apps ähnlich programmiert sind.

Verein "Digitalcourage" weist auf besonderes Sicherheitsbedürfnis von Geflüchteten hin

Dass Daten offenbar getrackt und in den USA gespeichert würden, ist für Julia Witte vom Verein "Digitalcourage e.V." mit Sitz in Bielefeld höchst problematisch.

Eine Notwendigkeit für die Funktion von Banking-Apps, zweifelt sie an. Die Gefahr bestehe darin, dass über diese Tracker Persönlichkeitsprofile angelegt würden, so Witte.

Insbesondere für Asylsuchende, die in Ihrer Heimat politisch verfolgt werden, sei das hoch problematisch.Sie hat eine Vermutung, warum den Anbieter solche Sicherheitslücken gerade jetzt unterlaufen:

"Es sieht für mich danach aus, dass die Firmen hier schnell auf den Markt kommen wollten. Und dann haut man mal schnell was raus, ohne zu gucken, ob das alles Hand und Fuß hat". Julia Witte, Digitalcourage e.V.

In der Branche gebe es durch den Beschluss der Bundesregierung aktuell eine Art "Goldgräber-Stimmung", das Geschäft mit den Bezahlkarten ist lukrativ.

Dass Flüchtlinge in Zukunft keine Wahl mehr zwischen Bargeld und digitalem Bezahlen hätten, kritisiert sie: "Das ist nicht in Ordnung, wir reden hier über die Sicherheit von Menschen."

Ebenfalls sei problematisch, dass sich Bezieher von Asylleistungen nicht einmal zwischen verschiedenen Anbietern entscheiden könnten.