eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Onlinebanking der Postbank hat Lücken

Wie der Südwestrundfunk (SWR3) berichtete ist im Onlinebanking der Postbank eine neue Sicherheitslücke aufgetaucht. Durch diese ist es ohne Kenntnis des Benutzerpassworts oder einer PIN möglich ist, auf ein Postbankkonto zuzugreifen. Das Sicherheitsdefizit tritt auf, wenn ein Postbankkunde einem potentiellen Angreifer per z. B. E-Mail einen Link mit einer noch gültigen Session-ID schickt. Dies kann z.B. dann auftreten, wenn beispielsweise ein eBaykäufer dem Verkäufer zum Nachweis eine Kopie der Quittung per Copy und Paste in einer E-Mail sendet. Der Empfänger kann dann durch einen Aufruf der eingebetten Quittung auf das Konto zugreifen, denn die Postbank verifiziert eine Verbindung des Kunden nur über die vorhandene SessionID, nicht wie andere Banken auch noch über die IP-Adresse. D.h. solange die Session gültig ist, kann sich jeder, der die Session hat in das Konto einloggen.

Glücklicherweise kann der Angreifer jedoch „nur  sehen und nicht anfassen“ da ihm die TANs fehlen, um z.B. Überweisungen vorzunehmen. Aber Fremden seinen Kontostand zugänglich zu machen, ist nicht jeder Manns Sache.

So aktuell geschehen auf der Cebit 2008, wo ein Besucher bei einer Livehacking Demonstration des sogenannten Man-in-the-middle Verfahrens am Stand des Antiviren- und AntiPhishing-Herstellers F-Secure seine Kontodaten versteckt zur Verfügung stellte, der „Hacker“ diese mitschneiden und in seinen Computer eingeben konnte. So erschien plötzlich der recht dürftige Kontostand des Besuchers auf der großen Zuschauerleinwand, was zu einer spontanen Sammelaktion unter den anwesenden Besuchern führte.

Die Postbank hat bereits angekündigt das eingesetzte SessionID Verfahren in 2008 zu ändern.

Fazit: Sicherheitslücken beim Onlinebanking sind genau so ein Dauerbrenner, wie immer wieder kehrende Phishing Attacken. Seien Sie argwöhnisch und nicht zu bequem, wenn es um die Abwicklung von Geldgeschäften im Internet geht. Wenn man einen Nachweis verschicken möchte, dann maximal als Screenshot in dem alle sensiblen Daten unkenntlich gemacht wurden. Versenden Sie niemals per Copy und Paste ausgeschnittene Seiten ihres Online-Bankingportals, den ein Nachteil beim Copy und Paste ist: Sie sehen nur einen Bruchteil der eingebundenen Daten.  

Besonders wichtig: melden Sie sich immer von Ihrem Bankingportal vernünftig über den „Ausloggen“-Button ab.  Nur dann können Sie sichergehen, dass die SessionID auch wirklich gelöscht wurde.