• IT-Karriere:
  • Services:

IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo

Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.

Artikel veröffentlicht am , Anna Biselli
Verschlüsselung funktioniert nicht, wenn der Angreifer den Schlüssel auf dem Silbertablett bekommt.
Verschlüsselung funktioniert nicht, wenn der Angreifer den Schlüssel auf dem Silbertablett bekommt. (Bild: Robert Gramner)

Eine E-Mail mit einer verschlüsselten PDF, eine andere mit dem zugehörigen Passwort - wer sich in den E-Mailaccount einer Person gehackt hat, dürfte darüber wohl müde lächeln. Doch es gibt Banken, die ihren Kunden genau diese Methode als angeblich sichere E-Mailverschlüsselung anbieten.

Inhalt:
  1. IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo
  2. Wer den Sicherheitsversprechen glaubt, ist verwundbar

Eine dieser Banken ist die Volksbank Baden-Baden Rastatt - "zum Schutz sensibler Daten und Inhalte", heißt es auf ihrer Website. Golem.de liegt ein solches E-Mail-Paar vor, in dem ein Kunde die sogenannte verschlüsselte Kommunikation mit seiner Bank geführt hat. Nachdem er eine unverschlüsselte E-Mail an die Bank gesendet hatte, antwortete diese mit einer Passwort-geschützten PDF-Datei.

Etwa eine Minute später kam die E-Mail mit dem zugehörigen Passwort, betreff: "Passwort für Ihre verschlüsselte E-Mail im PDF-Format". In der E-Mail war zusätzlich der genaue Sendezeitpunkt der vorherigen Mail vermerkt. Kommentieren wollte die Bank diese Entscheidung nicht, Nachfragen beantwortete sie nicht. Doch die Volksbank Baden-Baden Rastatt ist nicht die einzige, die ein solches Verfahren einsetzt, auch die Volksbank Ebersberg nutzt das Verfahren.

"Eine solchen Placebo-Kryptolösung befriedigt allenfalls Anhänger der Homöopathie"

Der IT-Sicherheitsexperte Thorsten Schröder sagte Golem.de, das Verfahren suggeriere ein höheres Sicherheitsniveau, als Informationen unverschlüsselt zu versenden: "Dass dies Unsinn ist, liegt auf der Hand. Der Einsatz einer solchen Placebo-Kryptolösung befriedigt allenfalls Anhänger der Homöopathie: Wir heilen Unsicherheit mit Unsicherheit und verdünnen den 'Wirkstoff Kryptographie' so oft, bis nichts mehr nachweisbar ist." Schröder vergleicht das Verfahren mit einem Haustürschlüssel, den man von außen an die Türklinke hängt, nachdem man die Tür verschlossen hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wer den Sicherheitsversprechen glaubt, ist verwundbar 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 111€
  2. (zu jedem Artikel aus der Aktion gibt es einen weiteren geschenkt)
  3. (aktuell u. a. Death Stranding PS4 für 39,99€ und PS4-Controller verschiedene Farben für 42...
  4. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)

Richard Wahner 18. Dez 2018

Hatte ich doch geschrieben: Die Telekom. Der High-Tech-Konzern deklariert auch signierte...

Richard Wahner 18. Dez 2018

Das ist, wie Du selbst darlegst, nutzlos. Und wer gewinnt im Streitfalle? Die Bank...

Mopsmelder500 16. Dez 2018

die Onvista Bank verlangt das man sein Passwort in ein ständig wechselndes Tastenfeld...

derh0ns 16. Dez 2018

Alles was die brauchen waere eine Option im Onlinebanking um nen PGP-Key zu uploaden...

mieze1 15. Dez 2018

Das halte ich nicht für besonders sicher. Da häufig zu dieser Methode zum Variieren...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    •  /