Wer den Sicherheitsversprechen glaubt, ist verwundbar

Die Metadaten des PDFs legen nahe, dass das verwendete Produkt die "iQ.Suite PDFCrypt" des Herstellers GBS ist und die PDFs mit dem AES-Verfahren verschlüsselt wurden. Der Hersteller wirbt damit, dass die Verschlüsselung "ganz ohne Schlüssel, Zertifikate oder Installation von Software auf Empfängerseite" funktioniere. Vom Bankmitarbeiter erstellte E-Mails werden automatisch in verschlüsselte PDFs umgewandelt, der Passwortversand erfolgt auf Wunsch ohne weiteres Zutun des Mitarbeiters.

Stellenmarkt
  1. Junior Java Entwickler (m/w/d)
    Digital Building Solutions GmbH, Sendenhorst, Münster
  2. IT Service Delivery Manager (m/w/d) im Bereich Unix
    Volkswagen Financial Services AG, Braunschweig
Detailsuche

Eine etwas abgewandelte Form wird vom Hersteller BCC vertrieben und unter anderem von der Volksbank Kurzpfalz genutzt. Es funktioniert wie oben beschrieben, nur das Passwort wird nicht als Text innerhalb der E-Mail, sondern als eingebettetes Bild versendet. Auf Nachfrage beim Hersteller, wie diese Art der Verschlüsselung die Kunden schützen soll, erhielt Golem.de keine Antwort. Auf der Website sagt der Hersteller, mit der "PDF-Verschlüsselung werden auch die Sicherheitsanforderungen für die Anwender erfüllt, die keine PGP- oder S/MIME-Verschlüsselung nutzen".

Die Banken antworten nur ausweichend oder gar nicht

Die Nachfrage, warum sich die Volksbank Kurpfalz für diese Methode entschieden habe, beantwortete die Bank nur ausweichend: Die Entscheidung sei "aufgrund intern und extern gegebener Prämissen" erfolgt. Der präferierte Weg sei jedoch, dass die Kunden über ihren Online-Banking-Account verschlüsselt mit der Bank kommunizieren sollen. Präferiert: ja. Verpflichtend: nein. Für Kunden, die den Sicherheitsversprechen der Bank glauben, sei die vermeintliche E-Mailverschlüsselung gefährlich, sagt Schröder. Sie würden anfälliger für Social-Engineering-Angriffe.

Betrachtet man andere Banken, ergibt sich ein heterogenes Bild: Manche Banken bieten keinerlei E-Mailverschlüsselung an. Andere ermöglichen es, öffentliche PGP-Schlüssel oder S/MIME-Zertifikate zu hinterlegen, um Ende-zu-Ende-verschlüsselt und signiert kommunizieren zu können. Damit können die Kunden nicht nur vertraulich mit ihrer Bank kommunizieren. Sie können auch feststellen, ob die Nachrichten wirklich von der Bank stammen - und nicht von einem Angreifer, der sie zur Herausgabe von Bankdetails bringen will.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Immerhin: Im uns vorliegenden E-Mailverkehr mit der Volksbank Baden-Baden Rastatt wies die Bank darauf hin, dass "aus Sicherheitsgründen" keine neue PIN per E-Mail angefordert werden könne. Das musste der Kunde dann telefonisch erledigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. AVM: Fritzbox 6850 5G soll im Sommer tatsächlich kommen
    AVM
    Fritzbox 6850 5G soll im Sommer tatsächlich kommen

    Die zuletzt für Frühjahr geplante Markteinführung der Fritzbox 6850 5G konnte von AVM nicht eingehalten werden.

  2. Akkutechnologie: Solid Power ist näher an brauchbaren Akkus als Quantumscape
    Akkutechnologie
    Solid Power ist näher an brauchbaren Akkus als Quantumscape

    Lückenhafte technische Daten, schräge Kostenvergleiche, verschwiegene Nachteile - aber Solid Power ist immer noch ehrlicher als Quantumscape.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Impfzentren: Online-Portal für digitalen Impfnachweis gestartet
    Impfzentren
    Online-Portal für digitalen Impfnachweis gestartet

    In Hamburg kann man sich selbst einen digitalen Impfnachweis ausstellen. Bei den Apotheken gab es am Dienstag offenbar stundenlange Ausfälle.

Richard Wahner 18. Dez 2018

Hatte ich doch geschrieben: Die Telekom. Der High-Tech-Konzern deklariert auch signierte...

Richard Wahner 18. Dez 2018

Das ist, wie Du selbst darlegst, nutzlos. Und wer gewinnt im Streitfalle? Die Bank...

Mopsmelder500 16. Dez 2018

die Onvista Bank verlangt das man sein Passwort in ein ständig wechselndes Tastenfeld...

derh0ns 16. Dez 2018

Alles was die brauchen waere eine Option im Onlinebanking um nen PGP-Key zu uploaden...

mieze1 15. Dez 2018

Das halte ich nicht für besonders sicher. Da häufig zu dieser Methode zum Variieren...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI MAG274R2 27" FHD 144Hz 269€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Apple iPads (u. a. iPad Pro 12,9" 256GB 909€) • Razer Naga Pro 119,99€ • Alternate (u. a. NZXT Kraken WaKü 109,90€) [Werbung]
    •  /