SWR3 deckt Schwachstelle beim Postbank-Onlinebanking auf

Baden-Baden (ots) - Beim Marktführer im Online-Banking ist eine
Schwachstelle im System aufgetaucht/Kunden ermöglichen unter
Umständen Fremden den Zugriff auf das eigene Konto

Wer eine Überweisung tätigt, bekommt bei jedem Onlinebanker in
Deutschland auch eine Quittung auf dem Bildschirm angezeigt. Meistens
besteht die Möglichkeit, diese Quittung auch zu drucken. Wer bei der
Postbank diese Quittung einfach komplett kopiert und per Mail als
Beleg beispielsweise an einen Geschäftspartner schickt, der schickt
auch Internet-Links mit. In diesen Internetlinks wird auch die
Legitimation der Online-Banking-Sitzung mitverschickt.
Stichprobentests bei anderen Geldinstituten haben diese Schwachstelle
dort nicht gezeigt.

Das heisst: So lange der Absender in seinem Onlinebanking aktiv
ist oder dieses nicht rechtzeitig schliesst, kann der Empfänger der
Quittung ebenfalls auf das Konto zugreifen und unberechtigt darin
herum klicken. Dies muss alles zeitnah passieren, trotzdem braucht
der Empfänger weder große Computerkenntnisse noch die Kontonummer
oder das Passwort, um in das Onlinebanking des Absenders zu gelangen.
Ein finanzieller Schaden kann nicht entstehen, da zum Überweisen im
Onlinebanking eine sogenannte Transaktionsnummer benötigt wird.

Der Bankexperte der Verbraucherzentrale NRW, Hartmut Strube, sieht
allerdings das Bankgeheimnis in Gefahr und fordert die Postbank im
SWR-Interview zum Handeln auf. Auch, dass in den
Sicherheitsrichtlinien der Postbank ausdrücklich davor gewarnt wird,
Inhalte aus dem Onlinebanking zu kopieren oder zu vermailen sei kein
ausreichender Schutz der Verbraucher. Strube: "Die Postbank weiß ganz
genau, dass solche Hinweise von flüchtigen Internetnutzern überlesen
werden. Die Frage ist auch, wo der Internetnutzer diese Hinweise
findet, wenn er so eine Transaktion macht. Also das reicht sicher
nicht."

Für den Resortleiter Telekommunikation und Internet bei der
Computerbild, Alexander Krug, ist der Vorgang ernst: "Es ist gerade
unter unerfahrenen Internetusern so, dass man häufig etwas mit Copy
und Paste hin und herschiebt, und wenn dann der Empfänger dieser Mail
die Möglichkeit hat, sich in das Konto einzubuchen, dann ist das
natürlich sehr überraschend, dass er sich dort frei bewegen kann,
sich alle Umsätze anzeigen lassen kann. Damit rechnet man nicht,
deshalb ist es eine Sicherheitslücke. Natürlich ist es kein
gravierender Mangel, mit dem man Schabernack wie Überweisungen
tätigen kann, aber auch ein kleineres Problem stellt einen
Sicherheitsmangel dar."

Der Sicherheitsexperte des Computerfachmagazins "heise" / C't hält
es nicht für eine Sicherheitslücke, aber für eine Schwäche im System,
hofft aber, dass die Postbank diese hoffentlich bald schließe.

Die Postbank selbst teilt im SWR-Interview mit, dass es sich
hierbei nicht um eine Sicherheitslücke im herkömmlichen Sinne
handelt, da es vollkommen ausgeschlossen ist, Geld zu überweisen. Sie
räumt allerdings ein, dass unter bestimmten Umständen Daten
eingesehen werden können. Postbank-Pressesprecher Jürgen Ebert:
"Möglich ist das, weil in der HTML-Seite auch die URL versteckt ist
und in dieser URL verbirgt sich auch die Legitimation. Wichtig ist:
Auch wenn der Fremde in das Konto geschaut hat, sind keine
Transaktionen möglich, es kann kein finanzieller Schaden entstehen.
Wir versuchen noch 2008 auf diese Lösung mit den Session Cookies zu
wechseln und verweisen bis dahin aber auf jeden Fall auf
'Postbankde/Sicherheit'. Spätestens wenn man auf 'Banking beenden'
klickt ist alles zu Ende, ist der Stecker rausgezogen, kann keiner
mehr ins Konto schauen."

Die Postbank gilt als einer der Innovationsträger in der
Banking-Sicherheit. Die Postbank ist nach eigenen Aussagen der
Marktführer im Onlinebanking in Deutschland.

Mehr Infos auf swr3.de

Bei Fragen wenden Sie sich bitte an Stefan Scheurer, Tel.
07221/929-6170, E-Mail: stefan.scheurer@swr3.de

Originaltext: SWR - Südwestrundfunk
Digitale Pressemappe: http://www.presseportal.de/pm/7169
Pressemappe via RSS : http://www.presseportal.de/rss/pm_7169.rss2