In der letzten Zeit konnte man viel darüber lesen, wie die Corona-Pandemie vielfältige Bereiche unseres Lebens beeinflusst und verändert hat. Zu einem gewissen Grad hat uns das auch einen Ausblick auf die Zukunft gegeben, neue Möglichkeiten eröffnet und zahlreiche Entwicklungen beschleunigt. Ein bemerkenswertes Beispiel ist die verstärkte Nutzung digitaler Bank- und Zahlungsdienste. Auch elektronische Handelsplattformen, bei denen man im Handumdrehen reich werden oder pleite gehen kann, stehen dem in nichts nach.

Lässt man andere möglich Bedenken beiseite, so rückt die verstärkte Nutzung von Handels-Apps sicherlich die Cybersicherheit in den Vordergrund. Es ist offensichtlich, dass Online-Händler einer Reihe von Cyber-Bedrohungen, wie Fake-Apps, Phishing-Angriffe oder Exploits der Handelsplätze, ausgesetzt sind.

2017 und 2018 nahm Alejandro Hernández, Sicherheitsberater bei IOActive, solche Handelsplattformen unter die Lupe. Er untersuchte die Sicherheit von 16 Desktop-Anwendungen, 34 mobilen Apps und 30 Websites, von insgesamt 40 beliebten Handelsplattformen. Mittlerweile sind mehr als zwei Jahre vergangen, wir haben uns an Alejandro gewandt, um mit ihm über den heutigen Sicherheitsstand bei Trading-Apps zu sprechen.

Der Sicherheitsforscher Alejandro Hernández im Interview

Herzlich willkommen, Alejandro! Was waren deine Forschungsinteressen, als Du begonnen hast Dich mit der Sicherheit von Trading-Apps zu befassen?

Danke für die Einladung! Nun, ich bin sehr vielseitig, wenn es um Sicherheitsforschung geht. Ich habe mich bisher mit verschiedenen Dingen beschäftigt, darunter Codeüberprüfungen, Open Source Intelligence (OSINT) und das Auseinandernehmen von Fernsteuerungs-Apps für Autos. In den letzten Jahren habe ich mich mehr auf Fintech-Technologien konzentriert, insbesondere auf Tradings-Apps für Aktienhandel.

Was hat Dich an E-Trading-Apps interessiert?

Das liegt hauptsächlich daran, dass ich seit einigen Jahren mit Wertpapieren handele. Daher war ich gespannt, wie sicher diese Technologien sind. Ich nahm an, dass sie super sicher sind, aber das erwies sich bald als falsch. So geht es uns allgemein mit vielen Technologien, die wir verwenden. Wir halten sie für sicher, bis uns ein Sicherheitsforscher sagt, wie unsicher sie tatsächlich sind.

Das klingt beunruhigend. Sollten sich Nutzer Sorgen machen, dass Trading-Plattformen ihr Geld oder ihre Daten einem Diebstahlrisiko aussetzen?

Nicht wirklich, um ehrlich zu sein. Nach meinen Beobachtungen sind die Plattformen an sich nicht so unsicher, dass ein Angreifer leicht Geld von den Konten der Nutzer stehlen kann. Es ist wirklich nicht so einfach wie im Film.

Andererseits sind viele Plattformen nicht so sicher wie Banking-Apps. Zum Beispiel konnte ich ungefähr bei der Hälfte der Trading-Apps unverschlüsselt auf Handelsdaten zugreifen. Dies bedeutet, dass wenn ein Angreifer beispielsweise über Malware Zugriff auf das Dateisystem deines Laptops hat, kann es solche Daten leicht auslesen. Wenn es um mobile Apps geht, verschlüsseln moderne mobile Betriebssysteme standardmäßig Daten. Wenn jedoch jemand dein Telefon stiehlt und auf das entsperrte Telefon zugreifen kann, kann er auch diese Daten stehlen. Gleiches gilt für Computer oder unverschlüsselte Backups.

Du hast Dir 16 Desktop-Programme, 34 Smartphone-Apps und 30 Websites angesehen, auch von Marktführern, und sie mit einer Vielzahl von Betriebssystemen und Geräten getestet. Deine Tests waren sehr umfangreich. Hattest Du ein Bauchgefühl, dass du dabei auf eine „Goldader“ stoßen würdest?

Bevor ich anfing, die Apps zu zerlegen, hatte ich das Gefühl, dass ich eher Fehler in kleinen Apps finden würde. Ich habe mich jedoch geirrt, denn ich habe auch in den Apps einiger der größten Broker „interessante Dinge“ gefunden. Dank einer strikten Checklisten-basierten Herangehensweise konnte ich sicherstellen, dass alle Steuerelemente in jeder App getestet wurden.

In deiner Untersuchung hast Du davon gesprochen, dass Desktop-Anwendungen aufgrund des umfangreicheren Funktionsumfangs eine größere Angriffsfläche bieten. Heutzutage nutzen aber immer mehr Menschen mobile Apps und die App-Funktionen werden umfangreicher. Glaubst Du, dass sich die Risiken in Zukunft deswegen gleichmäßiger verteilen? Sind die Leute beim Handel über mobile Plattformen vielleicht weniger vorsichtig?

Ich habe keine Zahlen bezüglich der Anzahl der Benutzer, die vom Desktop zum Handy wechseln. Die gute Nachricht ist jedoch, dass moderne mobile Betriebssysteme meiner Meinung nach heutzutage ziemlich sicher sind. Es ist schwieriger, ein mobiles Gerät anzugreifen als einen typischen Computer unter Windows. Mobile Trading-Apps haben sich im Laufe der Jahre erheblich verbessert. Ich sehe sehr häufig Aktualisierungen von E-Trading-Apps in den Apps Stores, einschließlich Sicherheitsupdates.

Andererseits habe ich in den letzten Jahren von keinen sicherheitsrelevanten Problemen auf Desktop-Plattformen gehört. Nur von Verfügbarkeitsproblemen, dies betrifft aber sowohl Desktop- als auch Mobilgeräte.

Die Ergebnisse deiner Untersuchung waren noch ernster als bei einer umfassenden Untersuchung von mobilen Banking-Apps im Jahr 2015. Inwiefern?

Absolut, die Handels-Apps sind viel unsicherer als Banking-Apps. Heutzutage empfehlen die meisten Banking-Apps, FaceID oder TouchID- und Zwei-Faktor-Authentifizierung zu aktivieren, sobald man die Apps zum ersten Mal installiert und öffnet. Bei Trading-Apps passiert das nicht. Ich bin mir ziemlich sicher, dass es hinter den Kulissen mehr Bank-Apps gibt, die die gesamte Kommunikation verschlüsseln als Handels-Apps, die dies nur teilweise tun. Das gleiche gilt für gespeicherte Daten.

Warum ist das deiner Meinung nach so?

Ich glaube, dass Banking-Apps vor allem deshalb sicherer sind, weil sie Mainstream sind und von Menschen jeden Alters verwendet werden. Daher werden sie von vielen Parteien, einschließlich interner Prüfer, externer Compliance-Prüfer und von internen sowie und externen Sicherheitstestern eingehend geprüft.

Wie haben die Trading-Plattformen auf Ihre Ergebnisse reagiert? Haben sie seitdem die Mängel behoben und würden Sie sagen, dass Handelsplattformen jetzt im Allgemeinen sicherer sind als 2017/2018?

Die größten Trading-Plattformen antworteten sehr schnell auf die Sicherheitsempfehlungen, die wir ihnen geschickt hatten. Ich glaube, das liegt daran, dass sie sich mehr für den Schutz ihrer Kunden einsetzen und über größere Budgets für Cybersicherheit verfügen.

Zwei Jahre später sind mehr Sicherheitskontrollen auf Handelsplattformen implementiert, darunter strengere Kennwortrichtlinien, Zwei-Faktor-Authentifizierung und viele Opt-In-Benachrichtigungen über Operationen in den Apps, wie gültige/ungültige Anmeldeversuche, Kauf- oder Verkaufsaufträge, Abheben/Einzahlen von Geld usw. Das heißt ja, Handelsplattformen sind jetzt sicherer als vor zwei Jahren.

Das klingt ermutigend. Trotzdem sollten die Leute die Sicherheit nicht auf die leichte Schulter nehmen. Was wären die typischen Angriffsmethoden für Kriminelle, die versuchen auf Trader-Accounts zuzugreifen?

Da die meisten Trader keine Zwei-Faktor-Authentifizierung aktivieren, auch wenn diese Option verfügbar ist, können Angreifer die Passwörter erraten oder per Brute-Force-Angriff knacken. So können sie Zugriff auf Konto erlangen, Aktien handeln und Geld auf von Angreifern kontrollierte Bankkonten überweisen.

Kürzlich gab es Berichte über die Plünderung einiger Robinhood-Konten. Ich denke, das lag daran, dass die Opfer ihre Passwörter über mehrere Konten hinweg wiederverwendeten und keine Zwei-Faktor-Authentifizierung verwendeten.

Dies bringt uns tatsächlich zu einem weiteren wichtigen Punkt - was kann der durchschnittliche Trader für seine Sicherheit tun?

Letztes Jahr habe ich ein Webinar gemacht, das auch Tipps für den sicheren Handel enthielt. Kurz gesagt, das sollten die Menschen tun:

  • Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für kritische Vorgänge wie das Verknüpfen neuer Bankkonten
  • Aktivieren Sie FaceID/TouchID in mobilen Apps zur Authentifizierung
  • Vermeiden Sie öffentliche Wi-Fi-Netzwerke
  • Verwenden Sie ein anderes Passwort als das Passwort für E-Mail- und Banking-Apps. Stellen Sie sicher, dass das Passwort sicher ist
  • Aktivieren Sie die automatische Abmeldung nach einer bestimmten Leerlaufzeit
  • Aktivieren Sie E-Mail-/SMS-Benachrichtigungen

Betrachten wir Best Practices für sicheres Programmieren. Man sagt, dass keine Software frei von Sicherheitslücken ist. Wie können Entwickler die Wahrscheinlichkeit verringern, dass ihre Apps gravierende Sicherheitslücken enthalten?

Interessanterweise habe ich festgestellt, dass Anwendungen, die von ungenannten Finanzinstituten entwickelt wurden, weniger sicher sind als Bankanwendungen, die von Entwicklern innerhalb desselben Unternehmens entwickelt wurden. Ich denke, das liegt daran, dass es an Kommunikation zwischen den Entwicklungsteams mangelt. Meiner Meinung nach müssen die Cybersecurity-Mitarbeiter diese Teams zusammenbringen, um die Sicherheitslage der Produkte zu verbessern. Dazu gehören der Austausch von Erfahrungen und Tipps für sicheres Coding sowie das Testen der Software des jeweils anderen. Und so weiter.

Außerdem werden Trading-Technologien teilweise von Menschen mit einem starken Finanz-Hintergrund entwickelt. Es besteht jedoch ein sichtbarer Mangel an Schulungen bezüglich sicherem Coding.

Was können andere Beteiligte wie die Finanzindustrie und die Aufsichtsbehörden tun, um die Cybersicherheitsrisiken der Händler zu verringern?

Auf jeden Fall sollten auch Aufsichtsbehörden und Rating-Organisationen einbezogen werden. Es gibt beliebte Websites unter Tradern, die Apps und Anbieter häufig in Bezug auf Benutzerfreundlichkeit, Gebühren, Kundenservice usw. bewerten. Sie sollten dabei auch die Sicherheit der Apps berücksichtigen.

Aufsichtsbehörden sollten Fintech-Unternehmen auch Anleitungen zur Entwicklung sicherer Technologien geben und Mindestanforderungen definieren, die eine Trading-Plattformen erfüllen müssen. Langfristig denke ich, dass sie eine aktivere Rolle bei der Prüfung der Geschäfte der Plattformen spielen sollten, wie z. B. bei der Prüfung der Einhaltung gesetzlicher Vorschriften, genau wie beim PCI DSS (Payment Card Industry Data Security Standard).

Vielen Dank für das Interview, Alejandro.