Ich erinnere mich an einen Thread vor wenigen Tagen als jemand die vorgehensweise von Consors (Hauptserver war wohl ausgefallen) als neben der Kunden/Depotnummer auch die Telefon-Pin abgefragt wurde.
Den nachfolgenden Bericht habe ich letztens bei PlusMinus gesehen.
mfG: Speculator
--------------------------------------------------
Link: www.hr-online.de/fs/plusminus/beitrag/001031direktbanken.html
Unsicherheiten bei Direktbanken
Reichen die Sicherheitsstandards der Banken?
Autor: Sven Herold
Über Mängel bei den Sicherheitsstandards im Online-Banking informierte uns eine eMail aus Kiel. Plusminus-Zuschauer H. Rohwer nutzt den Online-Aktienhandel der Comdirect Bank. Dieses Angebot hatte er immer für sicher gehalten, bis er plötzlich auf das Telefonbanking seines Online-Brokers aufmerksam wurde. Und er erkannte das Problem: Fürs Telefonbanking benutzt die Comdirect-Bank dieselbe PIN-Nummer wie die für den Kontozugang übers Internet, weitere Eingaben sind für Aufträge nicht nötig. Rohwer hält das für einen erheblichen Sicherheitsmangel.
Wir erinnern uns: Plusminus hatte in einer früheren Ausgabe bereits an einem Konto der Deutschen Bank 24 gezeigt, wie das Ausspionieren der PIN-Nummer im Internet funktioniert. (Plusminus 29.02.00, Beitrag Onlinemissbrauch).
Deshalb verlangen Banken bei der Eingabe von Aufträgen (z. B. Überweisungen) zusätzlich eine sogenannte TAN (Transaktionsnummer). Die meist sechsstelligen Zahlenkombinationen werden von den Banken in einer Liste an ihre Kunden verschickt. Jede Nummer gilt nur einmal für einen Auftrag und ist dann ungültig. Selbst wenn der Angreifer diese Nummer ausspionieren sollte, kann er sie nur für einen Auftrag nutzen.
Wir vergleichen Internet- und Telefonbanking bei Rohwers Bank, der Comdirect. Während sie für die Eingabe von Aufträgen übers Internet, zum Beispiel Aktientransaktionen, auch zusätzlich zur PIN- eine einmal zu verwendende TAN-Nummer verlangt, genügt ihr beim Telefonbanking die Eingabe nur der PIN-Nummer. Problem: Es ist dieselbe wie für den Internetzugang nötige. Hat ein Angreifer sie ausspioniert, kann er bequem von jeder Telefonzelle aus Aufträge erteilen. Er kann so die Sicherheitsvorkehrungen im Internet umgehen. Betroffen sind alle 500.000 Comdirect-Kunden, denn das Telefonbanking kann nicht abbestellt werden.
Wir fragen nach in der Zentrale der Comdirect in Quickborn. Matthias Hajek, Pressesprecher des Onlinebrokers, sagt uns: "Wir haben Sicherheitsvorkehrungen beim Telefonbanking eingebaut. Dort sind keine Überweisungen möglich. Unsere Frage: "Aber fremde Aktien verkaufen, das kann man doch?" Hajek: "Einkaufen soweit Deckung da ist, verkaufen, ja das geht."
Das Interview spielen wir Andy Müller-Maguhn vor. Er ist wohl der bekannteste Hacker Deutschlands, gehört zum Chaos Computer Club, der bekannt ist für das Aufdecken von Sicherheitslücken – auch beim Onlinebanking. Seine ernüchternde Einschätzung: "Das ist wenn Sie so wollen, der Weg hin zu mehr Bequemlichkeit unter vollständiger Vernachlässigung der Sicherheit." Maguhn ärgert vor allem, daß die Bank einerseits behauptet, das System sei sicher, andererseits für die dann doch vorhandene Unsicherheit, dank geschickt formulierter Geschäftsbedingungen, nicht in die Haftung zu nehmen ist. Den möglichen Schaden trägt also der Kunde.
Wir recherchieren weiter, wollen wissen, ob der Fall Comdirect eine Ausnahme ist. Ist er nicht. Zum Beispiel die Direkt Anlage Bank. Auch dort entdecken wir die gezeigten Sicherheitsprobleme beim Telefonbanking. Noch schlimmer, bei einer großen Zahl der Kunden lassen sich theoretisch über das Telefon auch Überweisungen auf Fremdkonten durchführen. Während ein Angreifer den Kunden bei der Comdirect nur schädigen kann, ist hier sogar eine Bereicherung möglich.
Wir treffen den Vorstand der Direkt Anlage Bank, wollen wissen, warum es beim Telefonbanking keine weiteren Sicherheitsvorkehrungen gibt. "In weiten Teilen eine historische Entwicklung, bisher sind wir damit auch sehr gut gefahren und haben auch nicht vor, daran etwas zu verändern", so die Begründung von Matthias Kröner.
Reine Unwissenheit - oder fehlt bei den Banken schlicht der Leidensdruck, sicherere Systeme anzubieten? Dabei gibt es doch ein Gesetz, an das sich auch die Onlinebanken halten müssen. Es ist das "Teledienstedatenschutzgesetz", wo es heißt: "Der Diensteanbieter (z. B. Onlinebroker) hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer Teledienste (z. B. Onlinebanking) gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann."
Wir erkundigen uns der Überwachungsbehörde für die Direkt-Anlage Bank, der Regierung Oberbayern in München. Warum hat sie bisher nicht reagiert? Die Behörde werde nur tätig, heißt es, wenn konkrete Fälle an sie herangetragen würden. Präventiv könne man nicht arbeiten, das sei schon organisatorisch und personell gar nicht möglich. So sei Datenschutz auch nicht vorgesehen, sagt man uns.
"Es gibt Fälle auch in Deutschland mit Schadenssummen bis acht Millionen Mark", sagt uns Andy Müller-Maguhn vom Chaos Computer Club. Nur die Banken würden alles dafür tun, dass die Fälle nicht bekannt werden. "Sie fürchten einen Imageschaden für das Onlinebanking insgesamt", so Maguhn. Heißt im Klartext, die Banken zahlen Abfindungen an geschädigte Kunden, damit die Fälle nicht vor Gericht und damit in der Öffentlichkeit landen. Wo kein Kläger, da auch kein Richter. Deshalb fordert auch Maguhn andere Konsequenzen. Seiner Ansicht nach müsste ein neues Gesetz her, das die Banken in die Pflicht nimmt. Die Banken müssten bei Schäden haften. Dann würden sie von sich aus sichere Syteme anbieten. Derzeit sei der Leidensdruck einfach zu gering.
Gleicher Meinung ist auch der Bundesdatenschutzbeauftragte Dr. Joachim-W. Jacob. Er geht sogar noch einen Schritt weiter, fordert ein Gütesiegel für Onlineanbieter. Das könnte von einer unabhängigen Stelle, einer sogenannten Zertifizierungsstelle, vergeben werden. Vorteil: Der Kunde wisse dann ganz genau, welche Angebote sehr sicher, einigermaßen oder gar nicht sicher sind. Das schaffe Vertrauen. Den von ihm angeregten Internetbeauftragten dagegen wird es wohl nicht geben. Auf eine entsprechende Anfrage von Plusminus bei der Bundesregierung hieß es, das Problem betreffe zuviele Stellen, könne nicht in eine Hand gegeben werden.
Hans Heinrich Rohwer aus Kiel will die Disskussionen um die Sicherheit nicht abwarten. Er hat längst entschieden - und die Geschäftsverbindungen mit der Comdirect abgebrochen.
Tipps für Comdirect- und Direkt-Anlage Bank Kunden:
Sorgen Sie dafür, dass keine Viren auf ihrem Rechner sind. Lesen Sie dazu unbedingt die Sicherheitshinweise der Banken. Wichtig: Auch wenn die Antivirenprogramme Trojaner (eingeschleuste Abhörprogramme) nicht sicher erkennen können, sollten Sie immer die neueste Antivirensoftware installiert haben (meist Update per Internet möglich) und regelmäßig (mindestens jeden Monat) Ihren Rechner nach Viren scannen.
Behalten Sie PIN- und TAN-Nummer unbedingt für sich. Schreiben Sie Ihre PIN-Nummer nirgends auf, speichern Sie sie auch nicht in Ihrem Rechner.
Kontrollieren Sie regelmäßig die Bewegungen auf dem Konto. Bei Unstimmigkeiten informieren Sie unbedingt die Bank und sperren Sie gegebenenfalls umgehend Ihre PIN- und TAN-Nummern.
Seien Sie skeptisch bei erscheinenden Eingabeaufforderungen. Insbesondere bei der Eingabe Ihrer TAN-Nummer. Sollte plötzlich die Tastatur nicht mehr funktionieren – informieren Sie umgehend die Bank. Gleiches gilt, wenn der Rechner nach der Eingabe der TAN-Nummer plötzlich abstürzt.
Setzen Sie ein Limit für die Höhe von Überweisungen. Große Beträge überweist man besser am Bankschalter.
Richten Sie als Kunde der Direkt Anlage Bank unbedingt ein Referenzkonto ein. Dann verhindern Sie, dass Gelder per Telefon auf fremde Konten überwiesen werden können. Achtung: Auch das Traderpasswort ist nicht so sicher wie eine TAN-Nummer!
Bei Problemen mit der Bank wenden Sie sich an eine Verbraucherzentrale oder den Datenschutzbeauftragten in Bonn. Dort wird man Ihnen weiterhelfen.
Plusminus recherchiert weiter und bittet Geschäditgte, sich zu melden:
eMail: SHEROLD@hr-online.de
Den nachfolgenden Bericht habe ich letztens bei PlusMinus gesehen.
mfG: Speculator
--------------------------------------------------
Link: www.hr-online.de/fs/plusminus/beitrag/001031direktbanken.html
Unsicherheiten bei Direktbanken
Reichen die Sicherheitsstandards der Banken?
Autor: Sven Herold
Über Mängel bei den Sicherheitsstandards im Online-Banking informierte uns eine eMail aus Kiel. Plusminus-Zuschauer H. Rohwer nutzt den Online-Aktienhandel der Comdirect Bank. Dieses Angebot hatte er immer für sicher gehalten, bis er plötzlich auf das Telefonbanking seines Online-Brokers aufmerksam wurde. Und er erkannte das Problem: Fürs Telefonbanking benutzt die Comdirect-Bank dieselbe PIN-Nummer wie die für den Kontozugang übers Internet, weitere Eingaben sind für Aufträge nicht nötig. Rohwer hält das für einen erheblichen Sicherheitsmangel.
Wir erinnern uns: Plusminus hatte in einer früheren Ausgabe bereits an einem Konto der Deutschen Bank 24 gezeigt, wie das Ausspionieren der PIN-Nummer im Internet funktioniert. (Plusminus 29.02.00, Beitrag Onlinemissbrauch).
Deshalb verlangen Banken bei der Eingabe von Aufträgen (z. B. Überweisungen) zusätzlich eine sogenannte TAN (Transaktionsnummer). Die meist sechsstelligen Zahlenkombinationen werden von den Banken in einer Liste an ihre Kunden verschickt. Jede Nummer gilt nur einmal für einen Auftrag und ist dann ungültig. Selbst wenn der Angreifer diese Nummer ausspionieren sollte, kann er sie nur für einen Auftrag nutzen.
Wir vergleichen Internet- und Telefonbanking bei Rohwers Bank, der Comdirect. Während sie für die Eingabe von Aufträgen übers Internet, zum Beispiel Aktientransaktionen, auch zusätzlich zur PIN- eine einmal zu verwendende TAN-Nummer verlangt, genügt ihr beim Telefonbanking die Eingabe nur der PIN-Nummer. Problem: Es ist dieselbe wie für den Internetzugang nötige. Hat ein Angreifer sie ausspioniert, kann er bequem von jeder Telefonzelle aus Aufträge erteilen. Er kann so die Sicherheitsvorkehrungen im Internet umgehen. Betroffen sind alle 500.000 Comdirect-Kunden, denn das Telefonbanking kann nicht abbestellt werden.
Wir fragen nach in der Zentrale der Comdirect in Quickborn. Matthias Hajek, Pressesprecher des Onlinebrokers, sagt uns: "Wir haben Sicherheitsvorkehrungen beim Telefonbanking eingebaut. Dort sind keine Überweisungen möglich. Unsere Frage: "Aber fremde Aktien verkaufen, das kann man doch?" Hajek: "Einkaufen soweit Deckung da ist, verkaufen, ja das geht."
Das Interview spielen wir Andy Müller-Maguhn vor. Er ist wohl der bekannteste Hacker Deutschlands, gehört zum Chaos Computer Club, der bekannt ist für das Aufdecken von Sicherheitslücken – auch beim Onlinebanking. Seine ernüchternde Einschätzung: "Das ist wenn Sie so wollen, der Weg hin zu mehr Bequemlichkeit unter vollständiger Vernachlässigung der Sicherheit." Maguhn ärgert vor allem, daß die Bank einerseits behauptet, das System sei sicher, andererseits für die dann doch vorhandene Unsicherheit, dank geschickt formulierter Geschäftsbedingungen, nicht in die Haftung zu nehmen ist. Den möglichen Schaden trägt also der Kunde.
Wir recherchieren weiter, wollen wissen, ob der Fall Comdirect eine Ausnahme ist. Ist er nicht. Zum Beispiel die Direkt Anlage Bank. Auch dort entdecken wir die gezeigten Sicherheitsprobleme beim Telefonbanking. Noch schlimmer, bei einer großen Zahl der Kunden lassen sich theoretisch über das Telefon auch Überweisungen auf Fremdkonten durchführen. Während ein Angreifer den Kunden bei der Comdirect nur schädigen kann, ist hier sogar eine Bereicherung möglich.
Wir treffen den Vorstand der Direkt Anlage Bank, wollen wissen, warum es beim Telefonbanking keine weiteren Sicherheitsvorkehrungen gibt. "In weiten Teilen eine historische Entwicklung, bisher sind wir damit auch sehr gut gefahren und haben auch nicht vor, daran etwas zu verändern", so die Begründung von Matthias Kröner.
Reine Unwissenheit - oder fehlt bei den Banken schlicht der Leidensdruck, sicherere Systeme anzubieten? Dabei gibt es doch ein Gesetz, an das sich auch die Onlinebanken halten müssen. Es ist das "Teledienstedatenschutzgesetz", wo es heißt: "Der Diensteanbieter (z. B. Onlinebroker) hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer Teledienste (z. B. Onlinebanking) gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann."
Wir erkundigen uns der Überwachungsbehörde für die Direkt-Anlage Bank, der Regierung Oberbayern in München. Warum hat sie bisher nicht reagiert? Die Behörde werde nur tätig, heißt es, wenn konkrete Fälle an sie herangetragen würden. Präventiv könne man nicht arbeiten, das sei schon organisatorisch und personell gar nicht möglich. So sei Datenschutz auch nicht vorgesehen, sagt man uns.
"Es gibt Fälle auch in Deutschland mit Schadenssummen bis acht Millionen Mark", sagt uns Andy Müller-Maguhn vom Chaos Computer Club. Nur die Banken würden alles dafür tun, dass die Fälle nicht bekannt werden. "Sie fürchten einen Imageschaden für das Onlinebanking insgesamt", so Maguhn. Heißt im Klartext, die Banken zahlen Abfindungen an geschädigte Kunden, damit die Fälle nicht vor Gericht und damit in der Öffentlichkeit landen. Wo kein Kläger, da auch kein Richter. Deshalb fordert auch Maguhn andere Konsequenzen. Seiner Ansicht nach müsste ein neues Gesetz her, das die Banken in die Pflicht nimmt. Die Banken müssten bei Schäden haften. Dann würden sie von sich aus sichere Syteme anbieten. Derzeit sei der Leidensdruck einfach zu gering.
Gleicher Meinung ist auch der Bundesdatenschutzbeauftragte Dr. Joachim-W. Jacob. Er geht sogar noch einen Schritt weiter, fordert ein Gütesiegel für Onlineanbieter. Das könnte von einer unabhängigen Stelle, einer sogenannten Zertifizierungsstelle, vergeben werden. Vorteil: Der Kunde wisse dann ganz genau, welche Angebote sehr sicher, einigermaßen oder gar nicht sicher sind. Das schaffe Vertrauen. Den von ihm angeregten Internetbeauftragten dagegen wird es wohl nicht geben. Auf eine entsprechende Anfrage von Plusminus bei der Bundesregierung hieß es, das Problem betreffe zuviele Stellen, könne nicht in eine Hand gegeben werden.
Hans Heinrich Rohwer aus Kiel will die Disskussionen um die Sicherheit nicht abwarten. Er hat längst entschieden - und die Geschäftsverbindungen mit der Comdirect abgebrochen.
Tipps für Comdirect- und Direkt-Anlage Bank Kunden:
Sorgen Sie dafür, dass keine Viren auf ihrem Rechner sind. Lesen Sie dazu unbedingt die Sicherheitshinweise der Banken. Wichtig: Auch wenn die Antivirenprogramme Trojaner (eingeschleuste Abhörprogramme) nicht sicher erkennen können, sollten Sie immer die neueste Antivirensoftware installiert haben (meist Update per Internet möglich) und regelmäßig (mindestens jeden Monat) Ihren Rechner nach Viren scannen.
Behalten Sie PIN- und TAN-Nummer unbedingt für sich. Schreiben Sie Ihre PIN-Nummer nirgends auf, speichern Sie sie auch nicht in Ihrem Rechner.
Kontrollieren Sie regelmäßig die Bewegungen auf dem Konto. Bei Unstimmigkeiten informieren Sie unbedingt die Bank und sperren Sie gegebenenfalls umgehend Ihre PIN- und TAN-Nummern.
Seien Sie skeptisch bei erscheinenden Eingabeaufforderungen. Insbesondere bei der Eingabe Ihrer TAN-Nummer. Sollte plötzlich die Tastatur nicht mehr funktionieren – informieren Sie umgehend die Bank. Gleiches gilt, wenn der Rechner nach der Eingabe der TAN-Nummer plötzlich abstürzt.
Setzen Sie ein Limit für die Höhe von Überweisungen. Große Beträge überweist man besser am Bankschalter.
Richten Sie als Kunde der Direkt Anlage Bank unbedingt ein Referenzkonto ein. Dann verhindern Sie, dass Gelder per Telefon auf fremde Konten überwiesen werden können. Achtung: Auch das Traderpasswort ist nicht so sicher wie eine TAN-Nummer!
Bei Problemen mit der Bank wenden Sie sich an eine Verbraucherzentrale oder den Datenschutzbeauftragten in Bonn. Dort wird man Ihnen weiterhelfen.
Plusminus recherchiert weiter und bittet Geschäditgte, sich zu melden:
eMail: SHEROLD@hr-online.de
