Abo
  • Services:

IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo

Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.

Artikel veröffentlicht am , Anna Biselli
Verschlüsselung funktioniert nicht, wenn der Angreifer den Schlüssel auf dem Silbertablett bekommt.
Verschlüsselung funktioniert nicht, wenn der Angreifer den Schlüssel auf dem Silbertablett bekommt. (Bild: Robert Gramner)

Eine E-Mail mit einer verschlüsselten PDF, eine andere mit dem zugehörigen Passwort - wer sich in den E-Mailaccount einer Person gehackt hat, dürfte darüber wohl müde lächeln. Doch es gibt Banken, die ihren Kunden genau diese Methode als angeblich sichere E-Mailverschlüsselung anbieten.

Inhalt:
  1. IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo
  2. Wer den Sicherheitsversprechen glaubt, ist verwundbar

Eine dieser Banken ist die Volksbank Baden-Baden Rastatt - "zum Schutz sensibler Daten und Inhalte", heißt es auf ihrer Website. Golem.de liegt ein solches E-Mail-Paar vor, in dem ein Kunde die sogenannte verschlüsselte Kommunikation mit seiner Bank geführt hat. Nachdem er eine unverschlüsselte E-Mail an die Bank gesendet hatte, antwortete diese mit einer Passwort-geschützten PDF-Datei.

Etwa eine Minute später kam die E-Mail mit dem zugehörigen Passwort, betreff: "Passwort für Ihre verschlüsselte E-Mail im PDF-Format". In der E-Mail war zusätzlich der genaue Sendezeitpunkt der vorherigen Mail vermerkt. Kommentieren wollte die Bank diese Entscheidung nicht, Nachfragen beantwortete sie nicht. Doch die Volksbank Baden-Baden Rastatt ist nicht die einzige, die ein solches Verfahren einsetzt, auch die Volksbank Ebersberg nutzt das Verfahren.

"Eine solchen Placebo-Kryptolösung befriedigt allenfalls Anhänger der Homöopathie"

Der IT-Sicherheitsexperte Thorsten Schröder sagte Golem.de, das Verfahren suggeriere ein höheres Sicherheitsniveau, als Informationen unverschlüsselt zu versenden: "Dass dies Unsinn ist, liegt auf der Hand. Der Einsatz einer solchen Placebo-Kryptolösung befriedigt allenfalls Anhänger der Homöopathie: Wir heilen Unsicherheit mit Unsicherheit und verdünnen den 'Wirkstoff Kryptographie' so oft, bis nichts mehr nachweisbar ist." Schröder vergleicht das Verfahren mit einem Haustürschlüssel, den man von außen an die Türklinke hängt, nachdem man die Tür verschlossen hat.

Wer den Sicherheitsversprechen glaubt, ist verwundbar 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 8 für 379€ statt 403,95€ im Vergleich)
  2. 54€
  3. (aktuell u. a. Corsair GLAIVE RGB als neuwertiger Outlet-Artikel für 34,99€ + Versand statt ca...

Richard Wahner 18. Dez 2018

Hatte ich doch geschrieben: Die Telekom. Der High-Tech-Konzern deklariert auch signierte...

Richard Wahner 18. Dez 2018

Das ist, wie Du selbst darlegst, nutzlos. Und wer gewinnt im Streitfalle? Die Bank...

Mopsmelder500 16. Dez 2018

die Onvista Bank verlangt das man sein Passwort in ein ständig wechselndes Tastenfeld...

derh0ns 16. Dez 2018

Alles was die brauchen waere eine Option im Onlinebanking um nen PGP-Key zu uploaden...

mieze1 15. Dez 2018

Das halte ich nicht für besonders sicher. Da häufig zu dieser Methode zum Variieren...


Folgen Sie uns
       


VR-Brille Varjo VR-1 ausprobiert

Das VR-Headset VR-1 von Varjo stellt den zentralen Bereich des Displays sehr scharf dar, wodurch auch feine Details erkennbar sind.

VR-Brille Varjo VR-1 ausprobiert Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Zotac Geforce GTX 1660 Ti im Test Gute 1440p-Karte für unter 300 Euro
  3. Nvidia Turing OBS unterstützt Encoder der Geforce RTX

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  2. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  3. Webauthn Standard für passwortloses Anmelden verabschiedet

    •  /