Banken und Heartbleed

 
David
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 191
Dabei seit: 07 / 2003
Betreff:

Banken und Heartbleed

 ·  Gepostet: 10.04.2014 - 19:44 Uhr  ·  #1
Hat sich schon mal jemand damit befaßt, welche Banken von Heartbleed betroffen sind und ob bzw. wie reagiert wurde? Im Moment ist mir gar nicht wohl dabei, Onlinebanking durchzuführen.

http://www.heise.de/security/m…66861.html
Odin
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayerisch Venedig
Homepage: sparkasse-passau.d…
Beiträge: 766
Dabei seit: 11 / 2004
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 10.04.2014 - 22:17 Uhr  ·  #2
Ist richtig - beschwichten hilft da nicht - nur das "richtige" Banking-System:

im privaten: HBCI/FinTS mit Chipkarte und gerne mit SECODER Unterstützung

und als größt mögliche Lösung: EBICS - auch gerne mit Chipkarte als Sicherheitsmedium

Ansonsten sind die modernen TAN-Systeme aber auch gegen dieses Auslesen geschützt, da der User die
Transaktionsdaten angezeigt bekommt. Hier sind die "modernen Trickbetrüger" (Stichwort: Rücküberweisungstrojaner) das
eigentliche Problem... dem User wird vorggaukelt die Aktion wäre rechtens... da brauche ich den Angriff auf den Server gar nicht... der Cleint reicht
und ist viel weniger geschützt...

Od
K.Achim
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 10
Dabei seit: 02 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 11.04.2014 - 10:06 Uhr  ·  #3
Bedenklich finde ich auch, daß die Domains subsembly.de/.com noch nicht gefixt zu sein scheinen:

http://filippo.io/Heartbleed/#subsembly.com
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7112
Dabei seit: 06 / 2008
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 11.04.2014 - 10:58 Uhr  ·  #4
@K.Achim
da kein WebService angeboten wird, dürfte für normale User keinerlei Gefahr hiervon ausgehen.
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 11.04.2014 - 12:06 Uhr  ·  #5
infoman, völlig richtig. Dennoch sollte man Andreas dazu mal einen Tipp geben. Denn ich vermute, dass er den Server nicht bei sich im Büro stehen hat, also scheint sein Provider vielleicht generell nicht auf Zack zu sein, was aktuelle Patches angeht. Und das fände ich als Kunde auch nicht gut.
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4537
Dabei seit: 11 / 2004
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 11.04.2014 - 15:22 Uhr  ·  #6
Hallo,

der subsembly.com Server steht bei einem Provider, und der ist zurzeit sicher gut im Stress. Das SSL-Problem ist in unserem Fall nicht ganz so kritisch, da das Online-Banking niemals über unserem Server läuft, sondern sich der Client immer direkt mit der Bank verbindet. Auch bei Konten mit Screen-Scraping. Ich hoffe dennoch, dass unser Provider den Server bald aktualisiert.
chakaa
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 12.04.2014 - 23:08 Uhr  ·  #7
o.O Hallo Andreas,
Zitat geschrieben von subsembly

Das SSL-Problem ist in unserem Fall nicht ganz so kritisch, da das Online-Banking niemals über unserem Server läuft, sondern sich der Client immer direkt mit der Bank verbindet.

ich will nicht den :devil: an die Wand malen, aber was wäre, wenn ein Verbindungsaufbau mit dem Bankserver zu einem :bandit:Server umgeleitet wird (z.B. durch DNS-Manipulation). Dieser Server holt sich dann per Heartbleed 64kB aus meinem Speicher mit Passwörtern/PINs im Klartext.

Wenn so ein Szenario ausgenützt wird (oder schon wurde, ohne dass wir das bemerkt hätten) - dann gut Nacht o.O
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7112
Dabei seit: 06 / 2008
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 07:55 Uhr  ·  #8
@chakaa
und was macht man damit ohne TAN?
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 11:05 Uhr  ·  #9
Daten sammeln.
Bitte nicht vergessen: Es geht nicht allein darum, Geld zu entwenden, sondern auch Datenschutz ist bei der Kontoführung ein sensibles Thema.
Es ist also nicht verkehrt, dies genau zu beobachten.

Gruß
Raimund
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7112
Dabei seit: 06 / 2008
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 14:10 Uhr  ·  #10
@Raimund
ok ich konkretisiere: kein finanzieller Schaden

stimme Dir in Sachen Datenschutz zu, wobei dann darf man giropay, sofortüberweisung, webservices web.starmoney.de / Web App von finanzblick oä. sowie die aus den US in Kürze "herüber schappende PFM" (Personal Finance Management) nie einsetzen.
des weiteren planen Online-Banking Prog. wie outbank DE Werbung und sogar Bank(en) planen über Werbung die Kontoführungskosten zu subventionieren.

zumal man in Sachen SSL berücksichtigen sollte, dass die Lücke seit 2 Jahren vorhanden ist und anscheinend nicht ganz so gravierend für Enduser, wie anfänglich gedacht.
chakaa
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 07 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 15:05 Uhr  ·  #11
Zitat geschrieben von infoman
ok ich konkretisiere: kein finanzieller Schaden


noch nicht (hoffentlich)
Aber fest steht, dass die :bandit: :bandit: alles technisch mögliche tun werden, um unser Geld abzugreifen.
Wir können uns heute kaum vorstellen, was in ein paar Jahren möglich sein wird. Allein die Tatsache, dass sicher immer öfter Tablets benutzt werden, und diese auch immer öfter mit einer SIM ausgestattet werden, macht die mobile TAN angreifbarer.

Und wie Raimund Sichmann schrieb: Daten!
Wenn ein :bandit: beispielsweise sieht, dass jemand richtig viel Geld auf dem Konto hat, und gleichzeitig weiß, welche Konten wir haben und welches Banking-Programm wir benutzen, könnte er uns perfekt angepasste Phishing-Mails schicken, mit Anrede, Kontonummer, vielleicht sogar noch Kontstand usw usf., worauf sicher viel mehr Leute reinfallen würden..

Oder noch viel gefährlicher: du bekommst einen Brief deiner Bank, worin sie ankündigt, dass morgen zwei Mitarbeiter vorbeikommen, um deine Sicherheitsprobleme zu lösen.. nicht auszudenken, wie viele Leute die Gangster dann in ihre Wohnung lassen.. :'(

Also um aufs Thema zurückzukommen: Heartbleed ist sicher auch für Clients ein Thema.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8176
Dabei seit: 08 / 2002
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 18:31 Uhr  ·  #12
Zitat
stimme Dir in Sachen Datenschutz zu, wobei dann darf man giropay, (...) nie einsetzen.
da muss ich nachsetzen:
"giropay" ist ein Dienst der Banken selbst, das innerhalb der Bankschnittstelle läuft. Dort kriegt kein Dritter die Kontoumsätze mit, noch Zugang zu anderen Daten. Es wird bezahlt und die Bank meldet - etwas vereinfacht - lediglich ein OK an den Shop.
Ein kleiner, aber feiner Unterschied zu Diensten, die sich die PIN etc. vom Kunden geben lassen und damit Zugriff auf das Onlinebanking nehmen können.
Gruß
Raimund
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7112
Dabei seit: 06 / 2008
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 20:17 Uhr  ·  #13
rechtlich gesehen handelt es sich bei giropay und die alternativen Anbieter um GmbHs, der einzige Unterschied sind die Gesellschafter.

Banken sind keine Wohlfahrtsverbände - man kann gespannt sein, wo die "Reise" hingeht - BigData usw. http://www.borncity.com/blog/2…nt-page-1/
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7409
Dabei seit: 03 / 2007
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 20:17 Uhr  ·  #14
Was mich in dem Zusammenhang arg verblüfft hat ist eine Kooperation der DKB mit sofortueberweisung.de! http://www.dkb.de/groups/press…ofort.html
Das Ganze wurde auch in die AGB oder Sonderbedingungen fürs Onlinebanking aufgenommen, wie ich einer Änderungsmitteilung entnommen habe.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7409
Dabei seit: 03 / 2007
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 13.04.2014 - 20:20 Uhr  ·  #15
Zitat geschrieben von infoman

rechtlich gesehen handelt es sich bei giropay und die alternativen Anbieter um GmbHs, der einzige Unterschied sind die Gesellschafter.

Banken sind keine Wohlfahrtsverbände - man kann gespannt sein, wo die "Reise" hingeht - BigData usw. http://www.borncity.com/blog/2…nt-page-1/


Das ist ziemlich wurscht. Der große Unterschied ist, dass man bei giropay NICHT irgendwelche PIN und TAN an einen fremden Anbieter rausgibt, der diese dann auf dem Bankrechner benutzt. Bei giropay wird man von der Verkäuferseite auf den BANKRECHNER verzweigt, meldet sich auf dem BANKRECHNER selber an und gibt auf dem BANKRECHNER die Transaktion selber frei. Danach meldet der BANKRECHNER den Transaktionspartnern die geglückte Transaktion (oder eben nicht gegglückt). Deswegen kann man giropay auch nur bei Banken nutzen, die daran teilnehmen und ihre EDV entsprechend ausgerüstet habe...
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 14.04.2014 - 07:05 Uhr  ·  #16
Zitat geschrieben von msa
Was mich in dem Zusammenhang arg verblüfft hat ist eine Kooperation der DKB mit sofortueberweisung.de! http://www.dkb.de/groups/press…ofort.html

Verblüffend und beängstigend. 2010 hat Giropay noch gegen die - damals hießen sie sofortüberweisung.de - geklagt, jetzt sind die selbst fast eine Bank und kooperieren mit einer Bank nach der anderen. Schau dir mal https://www.sofort.com/ger-DE/…-sofort-ag an. Es ist nicht nur die DKB.....

Zitat geschrieben von msa
Das Ganze wurde auch in die AGB oder Sonderbedingungen fürs Onlinebanking aufgenommen, wie ich einer Änderungsmitteilung entnommen habe.

Aus http://dok.dkb.de/pdf/b_pin_tan.pdf 3. 3)
Zitat
Der Teilnehmer ist verpflichtet die technische Verbindung zum Onlinebanking der DKB AG nur über die Internetseite der DKB AG (www.DKB.de) oder die ihm gesondert mitgeteilten Kommunikationswege herzustellen.

Was sind "gesondert mitgeteilte Kommunikationswege"? Etwa sofortüberweisung.de? Und wie werden die mitgeteilt?
Weißt du näheres, msa?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7409
Dabei seit: 03 / 2007
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 14.04.2014 - 10:25 Uhr  ·  #17
Zitat geschrieben von onlbanker
Was sind "gesondert mitgeteilte Kommunikationswege"? Etwa sofortüberweisung.de? Und wie werden die mitgeteilt?


Ja sicher sind die das. Es wurde brieflich (via Postbox, alles kommt via Postbox) mitgeteilt, dass man sich freut, einen neuen Kooperationspartner zu haben, nämlich eben sofortueberweisung.de, dass man den Segen hat, dort seine Zugangsdaten einzugeben, dass eine existierende Garantie für eventuelle Schäden auch dann gilt, wenn man sofortueberweisung.de benutzt und dass die AGB entsprechend geändert wurden. Weiterhin bekam man die neuen AGB in einer Version, in der die Änderungen kenntlich gemacht waren.
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 14.04.2014 - 10:38 Uhr  ·  #18
Zitat geschrieben von msa
Es wurde brieflich (via Postbox, alles kommt via Postbox) mitgeteilt

Kannst du noch nachvollziehen, wann das war? Bei mir liegen nur Auszüge in der Postbox.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7409
Dabei seit: 03 / 2007
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 14.04.2014 - 13:46 Uhr  ·  #19
Hmm. Ich finde in meiner entsprechenden Ablage auch nichts. Aber ich erinnere mich wieder: Das kam nicht per Postbox sondern über diese öfter mal genutzte Info-Box, die im Webbanking dann oberhalb des Finanzstatus kommt. Dort wurden die neuen AGB angekündigt mit Link auf die PDFs. Wann genau das war kann ich nicht mehr sagen. Jedenfalls in 2013.
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Banken und Heartbleed

 ·  Gepostet: 14.04.2014 - 15:16 Uhr  ·  #20
OK, danke dir. Ich fordere das mal an.
Gewählte Zitate für Mehrfachzitierung:   0