Schwachstelle beim Postbank-Onlinbanking

Aufrufe 4 Mal bewertet mit „Gefällt mir” Kommentare Kommentar
Mag ich anklicken, wenn dieser Ratgeber hilfreich war

Wer Onlinebanking macht, sollte sich für das hier interessieren. Beim Marktführer im Onlinebanking, der Postbank, ist eine Schwachstelle im System aufgetaucht. Entdeckt wurde die Schwachstelle durch einen Mitarbeiter von SWR3.online.

Folgende Szene könnte es 100mal jeden Tag in Deutschland geben: Man tätigt eine Überweisung. Ein paar Mausklicks später kann man entweder eine Quittung dieser Überweisung ausdruckern, oder sie in Kopie als Beleg per Email an den Geschäftspartner versenden. Bis hierhin ist das ein ganz normaler organg. Bei der Postbank steckt hier allerdings eine Tück: Wird die Online-Quittung per Mail versandt, dann kann der Empfänger dieser Email unter bestimmten Bedingungen das Konto des Gegenübers aufrufen und sämtliche Bewegungen einsehen. Ganz ohne Passwort oder Kontonummer, und ganz ohne Profikenntnisse.

Quittungs-Mail mit Konto-Legitimation

SWR3.online hat den Vorgang stichprobenartig mit anderen Banklen getestet. Aber nur bei der Postbank war es ohne weiteres möglich, dass Fremde Zugang zum eigenen Konto bekommen. Postbank-Pressesprecher Jürgen Ebert erklärte auf Anfrage, warum das funktioniert: Die Quittungsmail ist eine Html-Seite, in der Quittung stecken codierte Kontoinformationen der aktien Sitzung dirn. In dieser Seite sei auch die URL des Kontos mit aufgeführt, und in dieser URL verberge sich auch die Legitimation. Aber, so Ebert weiter: Wichtig ist an dieser Stelle festzuhalten, auch wenn der Fremde in das Konto geschaut hat, es sind keine Transaktionen möglich, es kann kein finanzieller Schaden entstehen.

Richtig ist, dass durch die aufgedeckte Lücke im System kein Geld verschwinden kann. Und es ist ebenfalls richtig, dass nicht wahllos Fremde in irgendwelche Konten etwas ansehen können. Auch funktioniert der Einblick in ein fremdes Konto nur innerhalb eines gewissen Zeitraums, da die Banking-Sitzung irgendwann abläuft. Aber es ist möglich, das Konto eines Fremden zu durchforsten, wenn dieser unorsichtig ist, Quittungen per Email erschickt und sein Onlinebanking nicht korrekt beendet.

Ich habe diesen Ratgeber geschrieben, da ich selber Postbank Kunde bin und ich eigentlich immer zufrieden damit war und dachte auch das es sicher sei. Aber jetzt kommen mir Zweifel. Denn durch diese Lücke werden bestimmt wieder irgendwelchen arbeitslosen Hacker animiert weiter einzudringen und vieloleicht mögliche nützliche Daten auszuspähen. Bin gespannt wie lange es dauert, bis die Postbank in dieser Richtung was unternimmt.

 

 

Möchten Sie Ihr Wissen weitergeben? Erstellen Sie Ihren eigenen Ratgeber… Verfassen Sie einen Ratgeber