Mr.XaXa
18.03.2008, 13:04
Wie der Südwestrundfunk (SWR3) berichtete ist im Onlinebanking der Postbank eine neue Sicherheitslücke aufgetaucht. Durch diese ist es ohne Kenntnis des Benutzerpassworts oder einer PIN möglich ist, auf ein Postbankkonto zuzugreifen. Das Sicherheitsdefizit tritt auf, wenn ein Postbankkunde einem potentiellen Angreifer per z. B. E-Mail einen Link mit einer noch gültigen Session-ID schickt. Dies kann z.B. dann auftreten, wenn beispielsweise ein eBaykäufer dem Verkäufer zum Nachweis eine Kopie der Quittung per Copy und Paste in einer E-Mail sendet. Der Empfänger kann dann durch einen Aufruf der eingebetten Quittung auf das Konto zugreifen, denn die Postbank verifiziert eine Verbindung des Kunden nur über die vorhandene SessionID, nicht wie andere Banken auch noch über die IP-Adresse. D.h. solange die Session gültig ist, kann sich jeder, der die Session hat in das Konto einloggen.
Glücklicherweise kann der Angreifer jedoch „nur sehen und nicht anfassen“ da ihm die TANs fehlen, um z.B. Überweisungen vorzunehmen. Aber Fremden seinen Kontostand zugänglich zu machen, ist nicht jeder Manns Sache.
So aktuell geschehen auf der Cebit 2008, wo ein Besucher bei einer Livehacking Demonstration des sogenannten Man-in-the-middle Verfahrens am Stand des Antiviren- und AntiPhishing-Herstellers F-Secure seine Kontodaten versteckt zur Verfügung stellte, der „Hacker“ diese mitschneiden und in seinen Computer eingeben konnte. So erschien plötzlich der recht dürftige Kontostand des Besuchers auf der großen Zuschauerleinwand, was zu einer spontanen Sammelaktion unter den anwesenden Besuchern führte.
Die Postbank hat bereits angekündigt das eingesetzte SessionID Verfahren in 2008 zu ändern.
Fazit: Sicherheitslücken beim Onlinebanking sind ein Dauerbrenner. Seien Sie argwöhnisch und nicht zu bequem, wenn es um die Abwicklung von Geldgeschäften im Internet geht. Wenn man einen Nachweis verschicken möchte, dann maximal als Screenshot in dem alle sensiblen Daten unkenntlich gemacht wurden. Versenden Sie niemals per Copy und Paste ausgeschnittene Seiten ihres Online-Bankingportals, den ein Nachteil beim Copy und Paste ist: Sie sehen nur einen Bruchteil der eingebundenen Daten.
Besonders wichtig: melden Sie sich immer von Ihrem Bankingportal vernünftig über den „Ausloggen“-Button ab. Nur dann können Sie sichergehen, dass die SessionID auch wirklich gelöscht wurde.
QUELLE (http://www.e-recht24.de/news/datenschutz/785.html)
Ziemlich dreist, dass die Postbank diese Sicherheitslücke erst im Laufe des Jahres fixen will. Auch wenn das Gled trotzdem in Sicherheit ist.
Ich mache auch bei der Postbank Onlinebanking, man kann sich ja aber leicht dagegen schützen. Ich gebe die Adresse per Hand ein, Kontonummer/PIN/PW's sind natürlich weder im Browser noch sonst wo auf dem PC gespeichert, auf die Idee eine URL weiterzugeben bin ich noch nicht gekommen... ist man ja selber Schuld. Und zum Schluss eben ausloggen, wie es sich gehört.
Glücklicherweise kann der Angreifer jedoch „nur sehen und nicht anfassen“ da ihm die TANs fehlen, um z.B. Überweisungen vorzunehmen. Aber Fremden seinen Kontostand zugänglich zu machen, ist nicht jeder Manns Sache.
So aktuell geschehen auf der Cebit 2008, wo ein Besucher bei einer Livehacking Demonstration des sogenannten Man-in-the-middle Verfahrens am Stand des Antiviren- und AntiPhishing-Herstellers F-Secure seine Kontodaten versteckt zur Verfügung stellte, der „Hacker“ diese mitschneiden und in seinen Computer eingeben konnte. So erschien plötzlich der recht dürftige Kontostand des Besuchers auf der großen Zuschauerleinwand, was zu einer spontanen Sammelaktion unter den anwesenden Besuchern führte.
Die Postbank hat bereits angekündigt das eingesetzte SessionID Verfahren in 2008 zu ändern.
Fazit: Sicherheitslücken beim Onlinebanking sind ein Dauerbrenner. Seien Sie argwöhnisch und nicht zu bequem, wenn es um die Abwicklung von Geldgeschäften im Internet geht. Wenn man einen Nachweis verschicken möchte, dann maximal als Screenshot in dem alle sensiblen Daten unkenntlich gemacht wurden. Versenden Sie niemals per Copy und Paste ausgeschnittene Seiten ihres Online-Bankingportals, den ein Nachteil beim Copy und Paste ist: Sie sehen nur einen Bruchteil der eingebundenen Daten.
Besonders wichtig: melden Sie sich immer von Ihrem Bankingportal vernünftig über den „Ausloggen“-Button ab. Nur dann können Sie sichergehen, dass die SessionID auch wirklich gelöscht wurde.
QUELLE (http://www.e-recht24.de/news/datenschutz/785.html)
Ziemlich dreist, dass die Postbank diese Sicherheitslücke erst im Laufe des Jahres fixen will. Auch wenn das Gled trotzdem in Sicherheit ist.
Ich mache auch bei der Postbank Onlinebanking, man kann sich ja aber leicht dagegen schützen. Ich gebe die Adresse per Hand ein, Kontonummer/PIN/PW's sind natürlich weder im Browser noch sonst wo auf dem PC gespeichert, auf die Idee eine URL weiterzugeben bin ich noch nicht gekommen... ist man ja selber Schuld. Und zum Schluss eben ausloggen, wie es sich gehört.