SWR3 deckt Schwachstelle beim Postbank-Onlinebanking auf
Archivmeldung vom 14.03.2008
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 14.03.2008 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittWer eine Überweisung tätigt, bekommt bei jedem Onlinebanker in Deutschland auch eine Quittung auf dem Bildschirm angezeigt. Meistens besteht die Möglichkeit, diese Quittung auch zu drucken. Wer bei der Postbank diese Quittung einfach komplett kopiert und per Mail als Beleg beispielsweise an einen Geschäftspartner schickt, der schickt auch Internet-Links mit.
In diesen Internetlinks wird auch die Legitimation der Online-Banking-Sitzung mitverschickt. Stichprobentests bei anderen Geldinstituten haben diese Schwachstelle dort nicht gezeigt.
Das heißt: So lange der Absender in seinem Onlinebanking aktiv ist oder dieses nicht rechtzeitig schließt, kann der Empfänger der Quittung ebenfalls auf das Konto zugreifen und unberechtigt darin herum klicken. Dies muss alles zeitnah passieren, trotzdem braucht der Empfänger weder große Computerkenntnisse noch die Kontonummer oder das Passwort, um in das Onlinebanking des Absenders zu gelangen. Ein finanzieller Schaden kann nicht entstehen, da zum Überweisen im Onlinebanking eine sogenannte Transaktionsnummer benötigt wird.
Der Bankexperte der Verbraucherzentrale NRW, Hartmut Strube, sieht allerdings das Bankgeheimnis in Gefahr und fordert die Postbank im SWR-Interview zum Handeln auf. Auch, dass in den Sicherheitsrichtlinien der Postbank ausdrücklich davor gewarnt wird, Inhalte aus dem Onlinebanking zu kopieren oder zu vermailen sei kein ausreichender Schutz der Verbraucher. Strube: "Die Postbank weiß ganz genau, dass solche Hinweise von flüchtigen Internetnutzern überlesen werden. Die Frage ist auch, wo der Internetnutzer diese Hinweise findet, wenn er so eine Transaktion macht. Also das reicht sicher nicht."
Für den Resortleiter Telekommunikation und Internet bei der Computerbild, Alexander Krug, ist der Vorgang ernst: "Es ist gerade unter unerfahrenen Internetusern so, dass man häufig etwas mit Copy und Paste hin und herschiebt, und wenn dann der Empfänger dieser Mail die Möglichkeit hat, sich in das Konto einzubuchen, dann ist das natürlich sehr überraschend, dass er sich dort frei bewegen kann, sich alle Umsätze anzeigen lassen kann. Damit rechnet man nicht, deshalb ist es eine Sicherheitslücke. Natürlich ist es kein gravierender Mangel, mit dem man Schabernack wie Überweisungen tätigen kann, aber auch ein kleineres Problem stellt einen Sicherheitsmangel dar."
Der Sicherheitsexperte des Computerfachmagazins "heise" / C't hält es nicht für eine Sicherheitslücke, aber für eine Schwäche im System, hofft aber, dass die Postbank diese hoffentlich bald schließe.
Die Postbank selbst teilt im SWR-Interview mit, dass es sich hierbei nicht um eine Sicherheitslücke im herkömmlichen Sinne handelt, da es vollkommen ausgeschlossen ist, Geld zu überweisen. Sie räumt allerdings ein, dass unter bestimmten Umständen Daten eingesehen werden können. Postbank-Pressesprecher Jürgen Ebert: "Möglich ist das, weil in der HTML-Seite auch die URL versteckt ist und in dieser URL verbirgt sich auch die Legitimation. Wichtig ist: Auch wenn der Fremde in das Konto geschaut hat, sind keine Transaktionen möglich, es kann kein finanzieller Schaden entstehen. Wir versuchen noch 2008 auf diese Lösung mit den Session Cookies zu wechseln und verweisen bis dahin aber auf jeden Fall auf 'Postbankde/Sicherheit'. Spätestens wenn man auf 'Banking beenden' klickt ist alles zu Ende, ist der Stecker rausgezogen, kann keiner mehr ins Konto schauen."
Die Postbank gilt als einer der Innovationsträger in der Banking-Sicherheit. Die Postbank ist nach eigenen Aussagen der Marktführer im Onlinebanking in Deutschland.
Quelle: SWR3