Abo
  • IT-Karriere:

Wer den Sicherheitsversprechen glaubt, ist verwundbar

Die Metadaten des PDFs legen nahe, dass das verwendete Produkt die "iQ.Suite PDFCrypt" des Herstellers GBS ist https://www.gbs.com/de/email-sicherheit/pdf-crypt und die PDFs mit dem AES-Verfahren verschlüsselt wurden. Der Hersteller wirbt damit, dass die Verschlüsselung "ganz ohne Schlüssel, Zertifikate oder Installation von Software auf Empfängerseite" funktioniere. Vom Bankmitarbeiter erstellte E-Mails werden automatisch in verschlüsselte PDFs umgewandelt, der Passwortversand erfolgt auf Wunsch ohne weiteres Zutun des Mitarbeiters.

Stellenmarkt
  1. DPD Deutschland GmbH, Aschaffenburg, Hamburg Kehrwieder
  2. GoDaddy, Ismaning

Eine etwas abgewandelte Form wird vom Hersteller BCC vertrieben und unter anderem von der Volksbank Kurzpfalz genutzt. Es funktioniert wie oben beschrieben, nur das Passwort wird nicht als Text innerhalb der E-Mail, sondern als eingebettetes Bild versendet. Auf Nachfrage beim Hersteller, wie diese Art der Verschlüsselung die Kunden schützen soll, erhielt Golem.de keine Antwort. Auf der Website sagt der Hersteller, mit der "PDF-Verschlüsselung werden auch die Sicherheitsanforderungen für die Anwender erfüllt, die keine PGP- oder S/MIME-Verschlüsselung nutzen".

Die Banken antworten nur ausweichend oder gar nicht

Die Nachfrage, warum sich die Volksbank Kurpfalz für diese Methode entschieden habe, beantwortete die Bank nur ausweichend: Die Entscheidung sei "aufgrund intern und extern gegebener Prämissen" erfolgt. Der präferierte Weg sei jedoch, dass die Kunden über ihren Online-Banking-Account verschlüsselt mit der Bank kommunizieren sollen. Präferiert: ja. Verpflichtend: nein. Für Kunden, die den Sicherheitsversprechen der Bank glauben, sei die vermeintliche E-Mailverschlüsselung gefährlich, sagt Schröder. Sie würden anfälliger für Social-Engineering-Angriffe.

Betrachtet man andere Banken, ergibt sich ein heterogenes Bild: Manche Banken bieten keinerlei E-Mailverschlüsselung an. Andere ermöglichen es, öffentliche PGP-Schlüssel oder S/MIME-Zertifikate zu hinterlegen, um Ende-zu-Ende-verschlüsselt und signiert kommunizieren zu können. Damit können die Kunden nicht nur vertraulich mit ihrer Bank kommunizieren. Sie können auch feststellen, ob die Nachrichten wirklich von der Bank stammen - und nicht von einem Angreifer, der sie zur Herausgabe von Bankdetails bringen will.

Immerhin: Im uns vorliegenden E-Mailverkehr mit der Volksbank Baden-Baden Rastatt wies die Bank darauf hin, dass "aus Sicherheitsgründen" keine neue PIN per E-Mail angefordert werden könne. Das musste der Kunde dann telefonisch erledigen.

 IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. ab 152,00€
  2. 79,00€
  3. 59,99€
  4. ab 17,99€

Richard Wahner 18. Dez 2018

Hatte ich doch geschrieben: Die Telekom. Der High-Tech-Konzern deklariert auch signierte...

Richard Wahner 18. Dez 2018

Das ist, wie Du selbst darlegst, nutzlos. Und wer gewinnt im Streitfalle? Die Bank...

Mopsmelder500 16. Dez 2018

die Onvista Bank verlangt das man sein Passwort in ein ständig wechselndes Tastenfeld...

derh0ns 16. Dez 2018

Alles was die brauchen waere eine Option im Onlinebanking um nen PGP-Key zu uploaden...

mieze1 15. Dez 2018

Das halte ich nicht für besonders sicher. Da häufig zu dieser Methode zum Variieren...


Folgen Sie uns
       


Workers Resources Soviet Republic - Test

Wem Aufbaustrategiespiele wie Anno oder Sim City zu einfach sind, sollte Workers & Resources: Soviet Republic ausprobieren. Das Spiel ist Wirtschaftssimulation und Verkehrsmanager in einem.

Workers Resources Soviet Republic - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
Online-Banking
In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

  1. Banking-App Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

    •  /