Bezahlkarte für Geflüchtete: Forscher aus OWL finden Sicherheitslücken Lokalzeit OWL 07.05.2024 01:31 Min. Verfügbar bis 07.05.2026 WDR Von Fynn David Just

Bezahlkarte für Geflüchtete: Forscher aus OWL finden Sicherheitslücken

Stand: 07.05.2024, 16:27 Uhr

Sicherheitsforscher aus OWL haben drei Anbieter von Bezahlkarten für Geflüchtete untersucht. Die dazugehörigen Online-Banking-Apps weisen offenbar gravierende Sicherheitslücken auf.

Von Fynn David Just

Nach vielen Monaten des Debattierens hat sich die Ampel-Koalition im April auf eine Gesetzesgrundlage zur sogenannten "Bezahlkarte für Asylbewerber" geeinigt.

Durch das Bezahlkartensystem soll zum Beispiel verhindert werden, dass Asylleistungen ins Ausland abfließen oder Migranten Geld an Schlepper zahlen. Die Karten funktionieren guthabenbasiert und nur in Deutschland. Sie können weder überzogen werden noch Überweisungen ausführen.

Hövelhof Vorreiter in NRW

Mehrere Städte und Gemeinden testen den Einsatz solcher Bezahlkarten bereits, seit dem 1. Mai auch die Gemeinde Hövelhof im Kreis Paderborn.

Als erste Kommune in NRW hat Hövelhof die sogenannte "SocialCard" eingeführt. Bundesweit gibt es aber verschiedene Anbieter, die Bezahlkarten-Lösungen für Kommunen anbieten.

Schwachstellen bei Online-Banking-Apps

Drei weitverbreitete Bezahlkarten-Anbieter haben die Sicherheitsforscher Tim Philipp Schäfers (29) und Niklas Klee (25) jetzt detailliert untersucht. Sie kommen beide aus Ostwestfalen-Lippe und arbeiten im IT-Bereich.

Neben einer physischen Karte stellen die Unternehmen auch jeweils eine Online-Banking-App zur Verfügung, über die beispielsweise das verfügbare Guthaben eingesehen werden kann.

Sicherheitsforscher Tim Philipp Schäfers und Niklas Klee | Bildquelle: WDR/Fynn Just

Wirklich ausgereift bzw. markttauglich sind diese Apps nach Ansicht der Sicherheitsforscher aber noch nicht: Neben Datenschutzverstößen fanden Sie teils erhebliche Sicherheitslücken in der Programmierung der Apps und Tracker, über die persönliche Daten an Tech-Firmen in den USA abfließen.

Bezahlkarte wurde bereits mit Sicherheitslücke genutzt

Auf die wohl größte Schwachstelle stießen sie bei der Bezahlkarte der Anbieter "PayCenter GmbH" und "petaFuel GmbH". Letztere ist für die Online-Banking-Funktionen der "Bezahlkarte.eu" bzw. auch einfach nur "Bezahlkarte" verantwortlich.

Die Bezahlkarte wird bereits in verschiedenen Städten und Landkreisen in Bayern für den Transfer von Sozialleistungen an Asylbewerber eingesetzt.

Hacker hätten sich offenbar in fremde Konten einloggen können

Die Schwachstelle ist als sogenannte "XSS-Lücke" bekannt. Nach Einschätzung von Schäfers und Klee hätten Hacker-Angreifer den Login von anderen Nutzern (zum Beispiel von Asylbewerbern) stehlen und sich an ihrer Stelle einloggen können – mit gravierenden Folgen:

Sehr wahrscheinlich wäre es Kriminellen so möglich gewesen, Kontostände und sensible Daten einzusehen, Geld abzubuchen, Online-Käufe vorzunehmen oder die Inhalte in der App für Betrugszwecke wie Phishing zu verändern.

Asylleistungen wären so zwar nicht an Familien von Geflüchteten ins Ausland abgeflossen, dafür aber wohl auf den Konten Krimineller gelandet.

Bezahlkarte für Geflüchtete: Forscher aus OWL finden Sicherheits WDR Studios NRW 07.05.2024 00:46 Min. Verfügbar bis 07.05.2026 WDR Online

Sicherheitslücke bereits behoben

In einer Stellungnahme an den WDR bestätigte petaFuel die Existenz der Sicherheitslücke in der App und teilte mit, diese als kritisch (im Sinn gültiger Industriestandards, nicht hinsichtlich einer Ausnutzbarkeit oder Gefährlichkeit) eingestuft zu haben:

Dass im konkreten Fall gerade so ein banaler Fehler wie eine redirect-Lücke so passiert ist und durch das Netz der Reviews geschlüpft ist, ist natürlich besonders unglücklich“, teilte das Unternehmen mit.

Den Vorwurf, dass Fremde den Log-In anderer Nutzer hätten übernehmen können, wies das Unternehmen aber zurück. Um das zu beweisen, hätten die beiden IT-Experten aus OWL einen solchen Angriff selbst simulieren müssen – das haben sie aber nicht getan.

Unternehmen wurden gewarnt

Sicherheitslücken kriminell auszunutzen, war auch nicht der Plan von Schäfers und Klee. Geld verdienen die Sicherheitsforscher mit den Ergebnissen ihrer Recherchen keines, obwohl sie etliche Stunden ihrer Freizeit in das Aufspüren der Schwachstellen investiert haben.

Ihr Ziel war es, Kriminellen bei der Entdeckung der Sicherheitslücken zuvorzukommen und die Unternehmen dann rechtzeitig zu warnen.

Dafür schrieben die beiden Forscher einen rund 40-seitigen Bericht, in dem sie den Bezahlkarten-Anbietern ihre Funde auflisteten und skizzierten, wie sie auf diese gestoßen waren.

Tracker übermitteln personenbezogene Daten an Google und Facebook

Schäfers und Klee untersuchten die Programmierung der Apps | Bildquelle: WDR/Fynn Just

Neben der Suche nach Sicherheitslücken glichen sie auch die Quellcodes, also die Programmierung der Apps, mit den Angaben in den Datenschutzbestimmungen ab. Auch hier besteht nach ihrer Einschätzung Verbesserungsbedarf.

In der "SecuPay-App", der Online-Banking-App der Bezahlkarte "SocialCard", fanden Sie unter anderem elf Tracker, die ohne Einwilligung der Nutzer Daten sammeln und diese an Google und Facebook übermitteln.

Für Schäfers und Klee ein klarer Verstoß gegen die Datenschutzgrundverordnung und die Persönlichkeitsrechte von Asylbewerbern.

Unternehmen weisen Vorwürfe zurück

In einer gemeinsamen Stellungnahme an den WDR verneinen die Unternehmen jedoch, persönliche Daten weiterzugeben.

Bezüglich der Tracker heißt es dort: "Wir möchten darauf hinweisen, dass es Entwicklertools gibt, welche als Bibliotheken ("Libraries") betitelt werden, die für die (Weiter-)Entwicklung der App von großer Bedeutung sind, ohne dass bei deren Einsatz persönliche Daten gespeichert, ausgewertet oder weitergegeben werden."

Dennoch überarbeite man gerade die App und werde bald Updates zur Verfügung stellen, um "dennoch die hypothetische Möglichkeit einer Datenübertragung auszuschließen."

Schäfers und Klee haben allerdings bislang keine Veränderungen bei ihren App-Versionen festgestellt (Stand 07.05.). Ihrer Ansicht nach enthält die App weiterhin elf Tracker, die in der Datenschutzerklärung nicht erwähnt sind.

Wichtig ist: Für Ihre Untersuchungen haben sich Schäfers und Klee nur die Android-Versionen angesehen. Sie gehen davon aus, dass die iOS-Versionen der Apps ähnlich programmiert sind.

Verein "Digitalcourage" weist auf besonderes Sicherheitsbedürfnis von Geflüchteten hin

Dass Daten offenbar getrackt und in den USA gespeichert würden, ist für Julia Witte vom Verein "Digitalcourage e.V." mit Sitz in Bielefeld höchst problematisch.

Julia Witte von "Digitalcourage e.V." macht sich Sorgen um den Datenschutz | Bildquelle: WDR / Fynn Just

Eine Notwendigkeit für die Funktion von Banking-Apps, zweifelt sie an. Die Gefahr bestehe darin, dass über diese Tracker Persönlichkeitsprofile angelegt würden, so Witte.

Insbesondere für Asylsuchende, die in Ihrer Heimat politisch verfolgt werden, sei das hoch problematisch.Sie hat eine Vermutung, warum den Anbieter solche Sicherheitslücken gerade jetzt unterlaufen:

"Es sieht für mich danach aus, dass die Firmen hier schnell auf den Markt kommen wollten. Und dann haut man mal schnell was raus, ohne zu gucken, ob das alles Hand und Fuß hat". Julia Witte, Digitalcourage e.V.

In der Branche gebe es durch den Beschluss der Bundesregierung aktuell eine Art "Goldgräber-Stimmung", das Geschäft mit den Bezahlkarten ist lukrativ.

Dass Flüchtlinge in Zukunft keine Wahl mehr zwischen Bargeld und digitalem Bezahlen hätten, kritisiert sie: "Das ist nicht in Ordnung, wir reden hier über die Sicherheit von Menschen."

Ebenfalls sei problematisch, dass sich Bezieher von Asylleistungen nicht einmal zwischen verschiedenen Anbietern entscheiden könnten.

Unsere Quellen:

  • WDR-Reporter vor Ort
  • Niklas Klee und Tim Phillip Schäfers, IT-Sicherheitsforscher
  • "PayCenter GmbH" / "petaFuel GmbH" (Bezahlkarte)
  • "Publk GmbH" / "secupay AG" (SocialCard)
  • Verein "Digitalcourage e.V."
  • Gemeinde Hövelhof
  • Tagesschau.de
  • WDR Archiv