Blog
22. März 2019

Warum die neon-App eine Festung ist

Wenn es um Geld geht, ist Sicherheit entscheidend. Darum haben wir Ende Februar einen ausführlichen Sicherheitstest bei neon durchgeführt. Wir haben eine externe Firma engagiert, die wie Hacker versuchen, in neon einzudringen. Das Resultat wollen wir dir nicht vorenthalten: weder auf dein Geld noch auf deine Daten kann zugegriffen werden. 
 

(Übrigens: willst du mehr über Phishing wissen, wie's funktioniert, was wir für dich tun und wie du dich selbst schützen kannst? Dann geht's hier lang. Oder möchtest du mehr zum Thema Zwei-Faktor-Authentifizierung und Einlagensicherung? Dann kannst du hier mehr darüber lesen.)
 

Aber erst einmal ein paar Schritte zurück:

Was passiert bei so einem Sicherheitstest überhaupt?

Bei einem Penetrationstest (kurz: Pentest) wird ein Hacker-Szenario nachgestellt. Es ist also viel mehr als nur ein automatischer Scan, denn hier versuchen Experten, die neon-App zu zerlegen und an Informationen zu kommen. Sie versuchen, Geld von einem anderen Konto weg zu überweisen, sensible Daten zu finden oder mit ihrem eigenen Login auf ein anderes Konto zu switchen und so auf Daten zuzugreifen. Das geschieht in zwei Phasen, einer Black-Box-Phase, gefolgt von einer Grey-Box-Phase. Danach wird in einer White-Box-Phase das Back-End analysiert, also der gesamte technische Aufbau «hinter» der App, den du als Nutzer nicht zu sehen kriegst.

Phase 1: Black-Box-Vorgehen

Dies ist für dich interessant, denn es spiegelt am ehesten wider, was passiert, wenn du dein Handy verlierst oder es gestohlen wird. Die Softwareingenieure zerlegen und analysieren die App, wie ein externer Hacker das tun würde und suchen nach möglichen Schwachstellen in den Web Services, im Authentifizierungssystem oder in der Serverkonfiguration selber, die sie ausnützen können. Wenn sie hier nicht weiterkommen, d.h. nicht in die App eindringen können, geht es in die Phase 2.

Phase 2: Grey-Box-Vorgehen

In diesem Szenario geben wir den Hackern etwas mehr Information. Wie die App grundsätzlich aufgebaut ist, zum Beispiel, oder eine Liste aller verfügbaren Endpoints (eine Schnittstelle, an der Daten übertragen werden.) Mit diesem Wissen versuchen sie nun wieder, an Daten oder Geld zu kommen.

Sowohl im Black-Box- wie auch im Grey-Box-Vorgehen wird an verschiedenen Orten angesetzt, um auf Geld oder Daten zuzugreifen. Unter anderem werden die Kommunikationskanäle, Ports, Protokolle, Verschlüsselung, Authentifizierung etc. inspiziert. In einem weiteren Schritt wird durch Reverse Engineering der Code der App rekonstruiert. Das dient dazu, zu sehen, ob ein Schutz gegen Reverse Engineering oder Jailbreak oder ähnlich besteht, und Schwächen in der Verschlüsselung aufzudecken.

Phase 3: White-Box-Analyse des Back-Ends

Zusätzlich schauen sich die Experten die ganze Back-End-Infrastruktur an. Hier benutzen wir ein sogenanntes White-Box-Vorgehen. Das heisst, wir legen offen, auf welcher technischen Infrastruktur der gesamte neon-Betrieb läuft. Keine Sorge, die Hacker sehen keine persönlichen Daten. Hier geht es vor allem darum, wie das Ganze gebaut ist.

Was dabei herausgekommen ist

Das Resultat? Kurzum: die Hacker konnten nicht eindringen, unsere Infrastruktur hat dieser intensiven Prüfung problemlos standgehalten. Das bedeutet für dich: neon ist sicher, und wir werden die Sicherheit deines Geldes und deiner Daten weiterhin ernst nehmen. Dasselbe gilt für Transparenz: wir möchten dir mit Blog-Artikeln wie diesem aufzeigen, was hinter der hübschen neon-App alles läuft. Damit du nicht nur glauben musst, sondern verstehen und nachvollziehen kannst.

Übrigens: auch rechtlich gesehen ist dein Geld sicher. Dank unserer Partnerschaft mit der Hypothekarbank Lenzburg unterliegt dein Konto den gleichen Regulationen (auferlegt von der Finma) wie jedes andere Schweizer Bankkonto auch. Du profitierst auch von der Einlagensicherung (bis 100'000 CHF), das heisst, auch in dieser Hinsicht ist dein Geld sicher.

Gib uns Feedback