Abo
  • IT-Karriere:

Wer den Sicherheitsversprechen glaubt, ist verwundbar

Die Metadaten des PDFs legen nahe, dass das verwendete Produkt die "iQ.Suite PDFCrypt" des Herstellers GBS ist und die PDFs mit dem AES-Verfahren verschlüsselt wurden. Der Hersteller wirbt damit, dass die Verschlüsselung "ganz ohne Schlüssel, Zertifikate oder Installation von Software auf Empfängerseite" funktioniere. Vom Bankmitarbeiter erstellte E-Mails werden automatisch in verschlüsselte PDFs umgewandelt, der Passwortversand erfolgt auf Wunsch ohne weiteres Zutun des Mitarbeiters.

Stellenmarkt
  1. Erwin Hymer Group SE, Bad Waldsee
  2. Technische Universität Darmstadt, Darmstadt

Eine etwas abgewandelte Form wird vom Hersteller BCC vertrieben und unter anderem von der Volksbank Kurzpfalz genutzt. Es funktioniert wie oben beschrieben, nur das Passwort wird nicht als Text innerhalb der E-Mail, sondern als eingebettetes Bild versendet. Auf Nachfrage beim Hersteller, wie diese Art der Verschlüsselung die Kunden schützen soll, erhielt Golem.de keine Antwort. Auf der Website sagt der Hersteller, mit der "PDF-Verschlüsselung werden auch die Sicherheitsanforderungen für die Anwender erfüllt, die keine PGP- oder S/MIME-Verschlüsselung nutzen".

Die Banken antworten nur ausweichend oder gar nicht

Die Nachfrage, warum sich die Volksbank Kurpfalz für diese Methode entschieden habe, beantwortete die Bank nur ausweichend: Die Entscheidung sei "aufgrund intern und extern gegebener Prämissen" erfolgt. Der präferierte Weg sei jedoch, dass die Kunden über ihren Online-Banking-Account verschlüsselt mit der Bank kommunizieren sollen. Präferiert: ja. Verpflichtend: nein. Für Kunden, die den Sicherheitsversprechen der Bank glauben, sei die vermeintliche E-Mailverschlüsselung gefährlich, sagt Schröder. Sie würden anfälliger für Social-Engineering-Angriffe.

Betrachtet man andere Banken, ergibt sich ein heterogenes Bild: Manche Banken bieten keinerlei E-Mailverschlüsselung an. Andere ermöglichen es, öffentliche PGP-Schlüssel oder S/MIME-Zertifikate zu hinterlegen, um Ende-zu-Ende-verschlüsselt und signiert kommunizieren zu können. Damit können die Kunden nicht nur vertraulich mit ihrer Bank kommunizieren. Sie können auch feststellen, ob die Nachrichten wirklich von der Bank stammen - und nicht von einem Angreifer, der sie zur Herausgabe von Bankdetails bringen will.

Immerhin: Im uns vorliegenden E-Mailverkehr mit der Volksbank Baden-Baden Rastatt wies die Bank darauf hin, dass "aus Sicherheitsgründen" keine neue PIN per E-Mail angefordert werden könne. Das musste der Kunde dann telefonisch erledigen.

 IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  3. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

Richard Wahner 18. Dez 2018

Hatte ich doch geschrieben: Die Telekom. Der High-Tech-Konzern deklariert auch signierte...

Richard Wahner 18. Dez 2018

Das ist, wie Du selbst darlegst, nutzlos. Und wer gewinnt im Streitfalle? Die Bank...

Mopsmelder500 16. Dez 2018

die Onvista Bank verlangt das man sein Passwort in ein ständig wechselndes Tastenfeld...

derh0ns 16. Dez 2018

Alles was die brauchen waere eine Option im Onlinebanking um nen PGP-Key zu uploaden...

mieze1 15. Dez 2018

Das halte ich nicht für besonders sicher. Da häufig zu dieser Methode zum Variieren...


Folgen Sie uns
       


Lenovo Ideapad S540 - Hands on (Ifa 2019)

Das Ideapad S540 hat ein fast unsichtbares Touchpad, das einige Schwierigkeiten bereitet. Doch ist das Gerät trotzdem ein gutes Ryzen-Notebook? Golem.de schaut es sich an.

Lenovo Ideapad S540 - Hands on (Ifa 2019) Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

    •  /