2. Nachlese zum gehärteten Sparkassen-Browser S-Protect

Sicherheit (Pexels, allgemeine Nutzung)Hier im Blog hatte ich ja bereits zwei Mal über S-Protect berichtet. Das ist der "gehärteten" Browser, den der Deutsche Sparkassen- und Giroverband Online-Banking-Kunden bereitstellen will, um diese bei Bankgeschäften vor Risiken auf Windows PCs oder Macs besser schützen soll. Eigentlich sollte das Thema mit den Beiträgen abgeschlossen sein. Aber die Wirklichkeit hat mich überholt. In einer zweiten Nachlese möchte ich auf weitere Gesichtspunkte zur Frage "wie sicher ist der gehärtete Browser wirklich" eingehen.


Anzeige

S-Protect, was ist das?

S-Protect ist ein "gehärteter" Browser, den der Deutsche Sparkassen- und Giroverband seinen Sparkassenkunden bereitstellt. Ziel ist es, mit dem "gehärteten" Browser S-Protect Online-Banking-Kunden der Sparkassen vor den Risiken bei Bankgeschäften auf Windows PCs oder Macs besser zu schützen.

Gehärteter Online-Banking-Browser S-Protect
Gehärteter Online-Banking-Browser S-Protect, Sparkasse am Niederrhein

Die Sparkasse am Niederrhein bewirbt den Browser S-Protect, der im Moment als Pilot-Projekt angeboten wird, auf ihrer Webseite als sichere Lösung zum Online-Banking auf dem PC mit folgenden Aussagen.

Unser S-Protect ist ein sogenannter gehärteter Banking-Browser. Sie können ihn sich am besten als einen zusätzlichen Schutzschirm fürs Online-Banking vorstellen. S-Protect verhindert, dass Trojaner und andere Schadprogramme, die sich möglicherweise auf Ihrem Computer versteckt haben, das Online-Banking ausspionieren oder manipulieren können. Die Einrichtung und Benutzung von S-Protect ist kinderleicht und verschafft Ihnen einen großen Sicherheitsvorteil bei allen Finanzgeschäften.

Der Browser steht dabei sowohl für Windows als auch für macOS kostenlos für Kunden der Sparkasse Niederrhein auf deren Webseite bereit. Die Sparkasse schreibt zu den Vorteilen von S-Protect:


Anzeige

  • Schutz vor Datendiebstahl, Phishing-Attacken, gefälschten Websites
  • Kinderleichte Handhabung, keine Installation oder Konfiguration
  • Funktion zur automatischen Anmeldung (Auto-Login)
  • Keine Beeinflussung anderer Sicherheitsverfahren

So soll beispielsweise verhindert werden, dass der Kunde auf einen Link in einer Phishing-Mail hereinfällt und auf einer Phishing-Seite seine Zugangsdaten für ein Online-Bankkonto eingibt. Der Browser lässt beispielsweise nur URLs von Banken zu, blockiert aber die URLs von Phishing-Seiten.

Der S-Protect-Browser im 1.+2. Test

Ich bin erstmals über den am 2. Mai 2022 bei heise erschienenen Artikel Sichereres Online-Banking mit gehärtetem Browser der Sparkassen auf dieses Konzept aufmerksam geworden. Im heise-Beitrag waren bereits leichtet Zweifel herauszulesen, ob sich die Sparkasse am Niederrhein sowie der Sparkassen und Giroverband mit den oben zitierten Aussagen nicht arg weit aus dem Fenster gelehnt haben.

Es entstand die Idee, sich näher mit S-Protect zu befassen und die obigen Versprechen der Sparkasse am Niederrhein einem Realitäts-Check zu unterziehen. Kurz vor dem Start des Projekts erreichte mich eine E-Mail des Sicherheitsexperten Stefan Kanthak, der die Sparkasse am Niederrhein auf die Unzulänglichkeiten des Konzepts hinwies, und mich auf CC gesetzt hatte.

Bei einem kurzen Test konnte ich den Hinweis von Stefan Kanthak bestätigen, dass der Download s-protect.exe anfällig für DLL-Hijacking-Schwachstellen ist. Ich hatte das Ganze im Blog-Beitrag Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall? dokumentiert und dann die Angelegenheit wieder ad acta gelegt. Den ein für DLL-Hijacking anfälliges Konzept braucht nicht weiter sicherheitstechnisch analysiert zu werden.

Allerdings entwickelte die Geschichte etwas Eigendynamik, da mein Beitrag erstmals das Thema "wie sicher ist der gehärtete Browser S-Protect" angesprochen hatte. Durch Leserkommentare wurde ich auf den Entwickler, die Firma Cononic GmbH, aufmerksam und hatte zum 17. Mai 2022 ein Telefonat mit den Entwicklern, in dessen Nachgang mir diverse Informationen bereitgestellt wurden.

Vorteile S-Protect (Coronic)
Vorteile S-Protect (Coronic)

Zudem konnte ich mir auf der S-Protect-Produktseite des Entwicklers Coronic weitere Details wie die obigen Aussagen ansehen. Von den Aussagen her sind die Entwickler von ihrem Produkt überzeugt, haben aber meinen Blog-Beitrag zum Anlass genommen, die berichtete DLL-SearchPathHijacking-Schwachstelle im Starter S-Protect zu beseitigen. Inzwischen steht die aktualisierte Version des Produkts auf der Sparkassenseite am Niederrhein zum Download bereit.

Ich hatte diese Versionen einer kurzen Überprüfung auf DLL-Hijacking-Schwachstellen im Starter S-Protect unterzogen und das Ganze mit weiteren Details und Erläuterungen der Entwickler im Blog-Beitrag Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse zusammen getragen. Zwischenfazit: Die DLL-Hijacking-Schwachstelle im Starter schien beseitigt, und die Entwickler hatten einige nette Ideen im gehärteten Browser implementiert.

Noch eine Nachbetrachtung

Was aber nach obigem Artikel blieb, war das Gefühl, dass der gehärtete Browser S-Protect nicht das halten kann, was die Sparkasse am Niederrhein auf ihrer Webseite verspricht. Denn die Aussage ist ja, dass der Browser selbst auf einem System, welches mit Malware (Trojaner) infiziert ist, noch schützt. Daher ist es Zeit, für eine weitere Nachbetrachtung, in deren Rahmen ich weitere Informationen zusammenfasse.

DLL-SearchPathHijacking weiter möglich

In meinem, zugegebenermaßen kurzen, Test sah es so aus, als ob die DLL-Hijacking-Schwachstelle im Starter beseitigt ist. Das trifft aber nur auf mein Testszenario im gewählten Testbett zu. Von Stefan Kanthak war ich über einen E-Mail-Austausch mit der Sparkasse am Niederrhein informiert, der darauf hinwies, dass auch das nachgebesserte Konzept die alten Schwachstellen aufweise. Er kann diese Schwachstellen weiterhin per einfachem Batch-Programm beim S-Protect-Browser reproduzierbar ausnutzen. Ich kenne grob den Ansatz, kann aber die Details nicht offen legen, da Vertraulichkeit vereinbart ist.

Auf die grundsätzliche Problematik, dass eine portable Anwendung durch Malware manipuliert werden kann, und so das gesamte Konzept von den Aussagen "schützt auch auf einem infizierten System" hinterfragt werden sollte, hatte ich ja bereits im Beitrag Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse hingewiesen. Zumindest blieben bei mir, auch vor den Erkenntnissen aus den Mail von Stefan Kanthak, "ein ungutes Gefühl" zurück.

Keylogger und Screenshots

Die Entwickler des S-Protect-Browsers richten diesen ja über den Starter neu im Benutzerprofil des Windows-Kontos ein und stellen auch sicher, dass immer die neueste Version des Browsers vorliegt. Zudem enthält das Konzept Schutzmechanismen, um die Integrität der Browserdateien zu schützen. Weiterhin haben die Entwickler Maßnahmen zum Schutz vor Screenshots des Browserfensters ergriffen und lassen auch nur URLs von Sparkassen-Organisationen zum Aufruf zu. Damit sollten Phishing-Angriffe und das Abfließen von Zugangsdaten durch Trojaner verhindert werden.

Aus Gesprächen mit den Entwicklern bei Coronic war mir bekannt, dass es auch einen Kontakt zwischen einem Redakteur bei heise gab. Inzwischen gibt es von heise den Artikel S-Protect: c't entdeckt Sicherheitsmängel in Banking-Software der Sparkasse, der auf weitere Probleme des gesamten Ansatzes hinweist.

  • S-Protect baut zwar einige Hürden auf, um Screenshots zu verhindern. Aber eine Remote-Session mit AnyDesk ermöglichte den heise-Testern den Inhalt des Browsers per Zwischenablage oder als PDF-Export zu lesen.
  • Eine verwendete Bildschirmtastatur konnte ungeschützt per AnyDesk übertragen werden, so dass die Eingabe einer PIN nachvollziehbar war.
  • Wird eine am Rechner angeschlossene Tastatur verwendet, können deren Eingaben von einem Keylogger mit protokolliert werden. Der S-Protect-Browser versucht zwar solche Keylogger in die Irre zu führen, indem Pseudoeingaben gesendet werden. heise gelang es aber mit einfachen Maßnahmen, die Benutzereingaben wirksam zu filtern.
  • Schließlich gelang es den heise-Testern die von S-Protect verwendete SetWindowDisplayAffinity() Funktion per Script auszutricksen und so beliebige Screenshots anzufertigen.

Geht man den Artikel von heise durch, fallen eine Reihe an Schwachstellen auf. So verwendet S-Protect zwar signierte Dateien, die beim ersten Start in einem Ordner im Benutzerprofil angelegt werden. heise war aber in der Lage, eine dieser Dateien auszutauschen und konnte laut Artikel feststellen, dass diese unsignierte Datei mit geladen wurde. Damit kann man das Konzept des "gehärteten" Browsers in meinen Augen schlicht ad-acta legen.

Zugangsdaten im Klartext

Die Coronic-Entwickler verwenden die Web-Rendering-Engine von QT5 – die wohl auf der Blink-Rendering Engine von Chromium basiert, wenn ich nicht ganz falsch liege. Nun habe ich gerade den Beitrag Chrome speichert Passwörter im Speicher im Klartext hier im Blog veröffentlicht. Das brachte mich beim Schreiben des Artikels über S-Protect auf die Idee, mal einen kurzen Test diesbezüglich zu fahren.

Ich war bei einem kurzen Test in der Lage, die von mir eingegebenen Anmeldedaten für Online-Konten im Klartext aus dem Speicher auszulesen. Diese werden mit der zugehörigen URL der Bank praktisch frei Haus geliefert. Genau diese Feststellung haben die Redakteure von heise auch gemacht und im oben verlinkten Artikel bestätigt.

Ergänzung: Der Artikel von heise ist ja weiter oben zum Nachlesen verlinkt (so dass ich mir eine Langfassung an Zitaten im Blog-Beitrag erspare). Der Vollständigkeit halber weise ich an dieser Stelle noch auf die "Gegendarstellung von Coronic" zum heise-Beitrag hin. Dort nimmt der Entwickler zu einzelnen Punkten aus dem heise-Beitrag Stellung, da bestimmte Punkte inzwischen per Update korrigiert sein sollen. Hier möge jeder Leser selbst die beiden Artikel gegenander spiegeln und ggf. selbst nachprüfen.

Was mich am Gesamtbild nervt: Es wird  ein "gehärteter" Browser angeboten, ist ja eigentlich top. Dann wird was von Dritten getestet und gefunden – es wird nachgebessert – es wird wieder getestet und es wird wieder was gefunden. Und dann geht die Diskussion los, was ist Schwachstelle, was ist relevant und was nicht. Seit Anfang Mai, als mein erster Beitrag erschien, bewegen wir uns in dieser Schleife.

Ich kann verstehen, dass der Entwickler nicht sonderlich glücklich über die Entwicklung ist. Aber von einem gehärteten Browser für Online-Banking erwarte ich eigentlich, dass der vom Start an sicher ist und hält, was die jeweilige Sparkasse verspricht. Wenn ich bei heise dann lese "Der Hersteller der Software hat uns am heutigen Tage per Anwaltsschreiben darum gebeten, darzustellen, welche von der c't an den Hersteller gemeldeten Sicherheitslücken der Software S-Protect zwischenzeitlich mit dem Update vom 31. Mai 2022 geschlossen werden konnten und welche nach unserer Recherche weiter bestehen." – ist das Kind meiner Meinung nach böse in den Brunnen gefallen.

Tests abgebrochen

An dieser Stelle habe ich weitere Tests abgebrochen, da diese aus meiner Sicht keinen Sinn mehr machen (ich bin ja nicht als Sicherheits-Auditor oder Pentester, sondern als Blogger, der bestimmte Sachverhalte aufgreift und informiert, tätig). Für meine Belange werde ich S-Protect nicht als Lösung für Online-Banking einsetzen, sondern versuche sicherzustellen, dass die für diese Zwecke verwendete Maschine sauber ist.

Versuch einer Einordnung

Abschließend noch der Versuch, einige Sachverhalte einzuordnen. Es gab Telefonate mit dem Entwickler und ich bin als cc auf diversen E-Mails zwischen Herrn Kanthak und Sparkassen gelistet. Die Informationen, die ich auf diesem Wege erhalten habe, laufen für mich aber "unter drei", so dass ich keine Details offen lege.

Kann der S-Protect den Anspruch erfüllen?

Die springende Frage ist, ob der S-Protect-Browser die Versprechen erfüllen kann, die ich Eingangs von der Sparkasse am Niederrhein zitiert habe. Also auch ein sicheres Online Banking gewährleisten, selbst, wenn der Rechner selbst kompromittiert ist. Die Sparkassen und der Entwickler meinen Ja, und argumentieren sowohl mit den technische Maßnahmen, die ergriffen wurden, als auch damit, dass bisher kein Phishing-/Schadensfall bekannt geworden sei.

Ich meine, der S-Protect kann den Anspruch, ein sicheres Online-Banking auf kompromittierten Rechnern zu gewährleisten, nicht erfüllen. Online-Banking ist nur so sicher, wie die Plattform, die dazu verwendet wird. Selbst wenn man akzeptiert, dass es bisher keinen Fall gab, wo ein Kunde zu Schaden kam, sollte man sich folgendes vor Augen führen: Der S-Protect wurde entwickelt, um "unbedarfte" Kunden beim Online-Banking zu schützen. Für die Aussage, dass der gehärtete Browser auch auf kompromittierten Systemen schützt und sicher ist, wäre ein formaler Beweis zu erbringen. Das erscheint mir persönlich unmöglich. Eine Empfehlung zum Einsatz bedeutet ja: Auch in Zukunft funktioniert das Konzept, egal was passiert und ob jemand nochmals drauf schaut. Das halte ich nicht für realistisch.

Zudem muss ich gestehen, dass ein eventuell vorhandener Vertrauensvorschuss bei mir nicht mehr vorhanden ist. Es wurden "Ungereimtheiten" von Stefan Kanthak festgestellt und von mir im ersten Blog-Beitrag thematisiert. So was sollte bei einem auf Sicherheit ausgelegten Projekt nicht passieren. Gut, es wurde nachgebessert. Dann wurde von Kanthak und heise getestet, es gab wieder "Ungereimtheiten", die ich oben skizziert habe. Bei einem solchen Projekt geht es auch um "Vertrauen". Ich hatte oben auf die "Gegendarstellung von Coronic" zum heise-Beitrag verwiesen und dass sich Anwälte zwischen der Coronic GmbH und heise austauschen. Unabhängig von der Inhaltlichen Seiten der Gegendarstellung weiß ich nicht, ob das jetzt alles eine geeignete Basis ist, um Fragen zur Sicherheit zu diskutieren und ob das gerade vertrauensbildende Maßnahmen sind.

Die Rolle des Verbands

Die Kollegen von heise lassen sich in ihrem Beitrag noch darüber aus, dass der Deutsche Sparkassen- und Giroverband (DSGV) auf Anfrage, warum das nicht früher auffiel, mitteilte, dass die DLL-Hijacking-Schwachstellen (vermutlich nach meinem ersten Artikel) ja beseitigt worden seien, und:

Nach Informationen des Herstellers" habe es "verschiedenste Sicherheits-Audits durch Kreditinstitute und Sicherheitsdienstleister [gegeben], die durchweg positiv ausgefallen sind".

und weiter heißt es:

Vor Abschluss der Vereinbarung zwischen DSGV und Coronic hat im Auftrag des DSGV das CERT der Sparkassen-Finanzgruppe (S-CERT) eine Sicherheitsbewertung durchgeführt.

Ähnliche Verlautbarungen zur Beseitigung der DLL-Hijacking-Schwachstelle kenne ich auch aus dem Mail-Austausch zwischen Stefan Kanthak und diversen Sparkassen.

Mein Eindruck: Da wird von Juristen auf formaler Basis kommuniziert und kommentiert – bezüglich der Sachfrage "wie sicher ist S-Protect" geht es in diesen Schriftwechseln aber nicht wirklich weiter.

Zum Thema Sicherheits-Audits nur so viel: Ich kenne aus Gesprächen einen groben Stand, ist aber "off the record". Da mir weder die Aufträge für die Audits noch die Prüfberichte vorliegen, und das auch nicht öffentlich ware, lässt sich schlicht nichts abschließendes zu diesem Thema sagen. Die Aussagen des Verbands sind quasi eine Null-Aussage, was die Sachinformation angeht.

Ich muss an dieser Stelle (basierend auf meinen jetzigen Kenntnissen) davon ausgehen, dass keine der Stellen, die mit Audits beauftragt war, einen Pentest vorgenommen und eine prinipielle Analyse erstellt hat.

Aber wenn jetzt drei Stellen (heise, Kanthak und meine Wenigkeit) bei Tests darauf stoßen, dass fundamentale Sicherheitsannahmen des S-Protect-Konzepts ausgehebelt werden können, die "Sicherheitsgarde des Sparkassen- und Giroverbands" aber vorher zu fundamental anderen Ergebnissen kommt, läuft irgendwo etwas falsch.

Es könnte natürlich sein, dass ich in der ganzen Angelegenheit schief gewickelt bin und das Sicherheitskonzept der Sparkassenlösung bei S-Protect noch nicht verstanden habe oder einfach falsch  bzw. anders bewerte. Aber die oben zitierten Aussagen der Sparkasse am Niederrhein bzgl. der Schutzwirkung von S-Protect passen schlicht nicht zu dem Bild, was die von mir oben genannten drei Stellen von diesem Produkt haben.

Es ist zum Verzweifeln

Klar, es ist jetzt etwas unfaire Dialektik, wenn ich an dieser Stelle auf mein ungutes Gefühl bezüglich der Branche und den kürzlich bundesweit aufgetretenen Ausfall der Verifone H5000 Kartenlesegeräte abstelle, wo man ja auch von "Versäumnissen" munkelt. Mein abschließender Eindruck (Bauchgefühl), wenn ich mir so bestimmte Sachverhalte durch den Kopf gehen lasse, ist, dass die Finanzbranche in Deutschland sich gerade erfolgreich selbst aus dem Geschäft schießt – Kompetenz schreibt sich jedenfalls (zumindest nach meinem Verständnis) anders.

Statt auf sichere Lösungen zum Online-Banking abzustellen, wird von den Sparkassen und Volksbanken gerade das Chip-TAN-Verfahren mit autarkem Leser (Chip-TAN-Generator) für die Bankkarte gegen irgendwelche Foto-TAN-Lösungen auf App-Basis für (Android- oder iOS-)Smartphones ersetzt. Es gibt wohl einen technischen Hintergrund, dass die Reiner SCT Chip-TAN-Generatoren nicht mehr mit dem Flickercode funktionieren.

Aber hier hätte ich dann eine gleichwertige Ersatzlösung in Form eines Chip-TAN-Generators für QR/Photo-CODE im 10 Euro Bereich erwartet. Ein hybrider Leser von Reiner SCT liegt momentan bei über 32 Euro (siehe tanJack® photo QR). Was der tanJack® QR kostet, weiß ich nicht, da dieser über die Sparkassen ausgegeben wird. Aktuell sieht es auch so aus, dass es längere Lieferzeiten für diese TAN-Generatoren gibt.

Und noch ein Punkt: Dass man inzwischen für Transaktionen bis 30 Euro keine PIN bzw. TAN mehr benötigt – geschenkt  – man will dem Kunden ja Komfort bieten. Ich muss zwar – der PSD2-Richtlinie sei Dank – bei der Abfrage meiner Zahlungshistorie über längere Zeiträume das Ganze per TAN bestätigen und werde auch zur regelmäßigen TAN-Eingabe zur Verifizierung des Online-Banking Zugangs genötigt.

Aber ich könnte Fintechs über die PSD2-Schnittstelle jederzeit Zugriff auf mein Bankkonto gewähren, damit diese meine Zahlungsbewegungen auswerten können. Bringt Bankkunden aber in Schwierigkeiten, wenn es um das Entziehen/Verwalten von Berechtigungen für Dritt-Finanzdienstleister geht. An dieser Stelle möchte ich auf den im Januar 2022 bei den Kollegen von Golem erschienenen Beitrag Open Banking wird unsicherer und unübersichtlicher verweisen. Da findet sich eine Analyse von Erik Bärwaldt zum Thema Open Banking und zur PSD2-Richtlinie, die Fintechs lukrative Möglichkeiten bei der Durchforstung der Online-Konten von Bankkunden ermöglichen soll.

Auch Themen wie DSGVO versus Klarna (siehe hier bei Golem), oder die Übernahme der Schufa durch einen schwedischen Investor (siehe) sind in diesem Kontext auch nur Fußnoten. Mir dreht sich bei so was der Magen um und es drängt sich der Eindruck auf, dass die Branche einerseits so was wie eine Goldgräberstimmung sieht und manche Protagonisten einfach "Getriebene" sind. Andererseits wächst eine neue Kundenschicht heran, die auf jeden hippen Scheiß hüpft, sobald Smartphone-App oder neue Zahlungsmethoden drauf gepinselt wird. Und die Banken erfüllen diese Erwartungen – möglicherweise getrieben von Fintechs, die da Marktanteile abgraben wollen.

Wie formulierte es ein junger Politiker und heutiger Finanzminister auf einem Wahlplakat: "Digitalisierung first, Bedenken second" – dass das sicherheitstechnisch vermutlich den Bach runter geht, geschenkt  – wird schon schief gehen.

Ähnliche Artikel:
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Sicherheit und die S-ID-Check-App der Sparkassen
Vorsicht: Phishing-Mail zielt auf Sparkassenkunden
X-Pay: Sparkassen und Banken gegen Apple und Google
Sparkassen-Störung bei Transaktionen: An Apple Pay verschluckt?

Chrome speichert Passwörter im Speicher im Klartext
Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)
Störung der Verifone H5000 EC-Kartenlesegeräte, einige Insights zur Zertifikateproblematik
Störung der Verifone H5000 EC-Kartenlesegeräte, neue Infos (29.5.2022)
Probleme mit Verifone H5000-Kartenlesegeräten, der Status zum 5. Juni 2022
Sicherheit: Possen um das Anwaltspostfach beA
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA-Debakel führt zu möglichem Trojaner-Befall
Neues vom #beagate (beA), ein Brief der BRAK
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
#beA-Splitter zum Wochenendausklang
Risiko: Alten beA-Client sofort deinstallieren
beA: Auch Rechtsanwaltsregister abgeschaltet


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

32 Antworten zu 2. Nachlese zum gehärteten Sparkassen-Browser S-Protect

  1. Paul sagt:

    Gute Arbeit, gute, lehrreiche Infos. DANKE.
    Zeigt sich eigentlich die "Spar"Kasse irgendwie "erkenntlich" für das kompetente Auditing, ausser das sie (bisher… ) auf Strafanzeigen wg. (der Straftat) Hacking verzichtet?

    Für mich sieht es bisher so aus das kein echtes, unabhängiges Auditiing stattgefunden hat sondern das Ganze vom Marketing gesteuert wird. Der DLL-Fehler ist doch so krass anfängerhaft, das kann doch nicht jemand übersehen haben, der sein Geld ehrlich mit Auditing verdienen will…?

    Wo sind die Belege/Protokolle das überhaupt ein unabhängiges Auditing stattgefundenen hat? Ach, die sind geheim? Beidseitiges NDA und so, Klar, verstehe. Geheim wh. Sicherheit wie auch damals beim kaputten EC-PIN-Algorithmus… Security by Obscurity..
    Klar…

    Könnte es nicht sein, das die "Spar"Kasse sich ein – teures- Auditing ge"spar"t hat? Sind deren Protokolle öffentlich?
    Wer einmal lügt… Ich denke daran wie dreist

    Fragen über Fragen…

    • Bernd B. sagt:

      Es lohnt, (auch) den oben verlinkten c't-Artikel zu lesen.
      Bei c't ist auch ganz unten eine Stellungnahme des Herstellers verlinkt, in der er der fiesen Hassrede von c't und Borncity* Paroli bietet: https://www.coronic.de/gegendarstellung/

      * völlig unfair: Ein Verlag und eine ganze Stadt gegen eine kleine Frickelbude!

      • Paul sagt:

        Danke für den link. Auch wenn er nicht beantwortet, wie diese Fehler vom Audit übersehen werden konnten.
        Ich lese da nur, daß die gemeldete Fehler behoben worden seien. Das Bug Bounty besteht dann wohl nur aus dem kurzen Wort "Danke"?

        Ich muß aber bei einem zu stimmen :
        Beim "CORONIC Tastaturrauscher"…
        Auch wenn es so etwas schon seit langem gibt.

        Ich habe seit vielen Jahren von G-Data deren USB-checker installiert. Der prüft nach ob sich die Tastatur geändert hat (böser USB Speicher mit Tastatur emulator, Hardware logger, sniffer etc. . ).
        Dieser hat mir tatsächlich einmal der A* gerettet:
        Eines Tages ging die Tastatur nicht mehr.
        Nach einigem Suchen (nur mit Bildschirm Tastatur) , kam ich drauf, dass sich eine böse Software den Windows Tastatur Hook geschnappt hatte.
        Dort war aber auch das geniale, kostenlose Teil von G-Data drin und hat die Tastatur wieder entschlüsselt.
        Der Böse konnte mit den Zeichen also nix anfangen und so war die Tastatur tot, als er sich aktiviert hatte.
        Aber diesen Schutz habe ich immer, bei jeder App.
        Nicht mit in einem Spezial Browser einer Bank.
        Und er braucht Admin Rechte, die der Browser natürlich nicht hat…

        Neue Software installiert, nach ein paae Tagen ging keine Tastatur mehr. Nur die Bildschirm Tastatur tat noch. Soch blöde, si ohne echte Tastatur.
        Nach einiger Suche kam ich drauf:
        Dieses genaile, kostenlose Teil von G-Data hat sich in den Keyboard Hook von Windows gesetzt. Dieser ist für solche Tools gedacht. G-Data hat das gemacht, da es die Tastatur umkodiert, also Verrauscht.

        Hm, und auf den Punkt, dss man mit Anydesk sehen könnte was eingegeben wurde, wird nicht eingegangen.
        Das Heise verschwiegen haben soll, das Anydesk nur ein schwarze Fenster zeigt glaube ich irgendwie nicht.

        Achso :
        Werden eigentlich auch die Ziffern in den Bild Schirm Tastatur bei jedem Aufruf an anderen Stellen dargestellt? Nervt das die Kunden nicht?
        Die IngDiba hatte das früher mal so. Echt ätzend, ich bin deshalb da kein Kunde geworden.
        Ich glaube die hatten sogar nach jedem Tastendruck, die Tasten-Positionen geändert…
        Denn ohne diese Maßnahme würde auch ein Schwarer Bildschirm nichts nutzen. Man legt sich halt ein Bild des Schirns aus einer anderen Quelle drunter, wenn man denn die Mausposition bekommt.
        As essy as.

        Wie sagte Blaise Pascal:
        "Verzeihet den langen Brief, ich habe keine Zeit einen kurzen zuschreiben "

      • Paul sagt:

        Der Link zur Gegendarstellung lohnt sich echt!

        Zitat :
        "Die Datei war zu keinem Zeitpunkt leicht austauschbar, nur in einem kurzen Zeitfenster zwischen der Prüfung der Signatur und dem Laden in den Speicher war dies überhaupt möglich. "

  2. Paul sagt:

    Diese ominöse total sichere Photo-TAN sieht so aus, das die Bank dem Kunden einen großen 4-farbigen QR Code per Post auf einen Fetzen Papier zuschickt. Diesen darf man natürlich nicht fotografieren und muß ihn sorgfältigst verwahren, denn dieser autorisiert bis zum Ende aller Geschäftsbeziehungen die App, ist also der private Key.
    "Tolles" Konzept:
    Sollte die Bank einen Fehler machen muß wieder der Kunde beweisen, daß er diesen QR code sicher verwahrt hat.
    Die Kosten sind für die Bank minimal.

    Wo ist das BaFin?

    .

    • Anonymous sagt:

      wäre das bei anderen Zugangsdaten (.z.B wie eine PUK) nicht auch so…

      • Paul sagt:

        Em, wo meine PUK ist weiß ich nicht.
        Habe ich noch nie gebraucht.
        Ich habe auch keine Idee wie die ohne meine SIM missbraucht werden könnte.

        Wo meine EC Karte ist weiß ich. Hab damit gerade gesrern was gekauft.
        Nicht alles was hinkt ist ein Vergleich :)

  3. Paul sagt:

    Sorry nochmal…
    "So soll beispielsweise verhindert werden, dass der Kunde auf einen Link in einer Phishing-Mail hereinfällt und auf einer Phishing-Seite seine Zugangsdaten für ein Online-Bankkonto eingibt."

    Dazu müsste dieser "S" icherheits-Browser ja als default eingetragen sein.
    Oder wie stellen sich die Herren vom " Spar"kassen Marketing das vor?
    Normalfall
    Kunde bekommt Phishing Mail, click auf den Link, und ist auf der gutgemacgten Webseite des Kriminellen.
    Mit seinem Firefox.
    Und jetzt mit dem "Sicherheits"-Browser soll der Kunde den Link aus der Email kopieren, den "Sicherheits" – Browser aufrufen und den link da rein kopieren? Wie wäre es mit einem Realität s Check, die Herren Marketingler? (ich schreibe ungegendert, weil sich das gewiss keine Frau ausgedacht haben kann. )
    Wer würde das denn machen?
    Ausserdem will ich ja nicht bei allen links in Emails im kastrierten "Spar" – Kassen Browser landen
    Em..
    Ich habe gerade irgendwiecein kognitive Dissonanz…

    • Anonymous sagt:

      Wenn man die Bank immer nur mit diesem extra Browser bedient, würde man nicht misstrauisch wenn man das auf einmal im Std Browser hat?

      • Paul sagt:

        Wie lange sollen die Banken diesen Wert speichern?
        Die Postbank hat noch nicht einmal genug Speicher Platz für mehr aks 100 Tage Kontobewegungen.
        Beweis mal einem Abzocker, der nach fast 2 Jahren die Rechnung nochmal per Inkassobüro vorlegt, dad Du das bezahlt hast….

        • Bernd B. sagt:

          Entweder schickt Ihnen die Bank monatlich einen Kontoauszug auf Papier nach Hause oder sie haben vereinbart, den selbst im OnBa abzuholen (tun sie das nicht bekommen sie den Auszug wiederum per Post gesandt!).
          Wenn Sie also "nach fast 2 Jahren" den entsprechenden Kontoauszug nicht mehr haben ist das allein ihre Schuld.

      • Paul sagt:

        Woher weiß die Banjk das ich (scammer) nicht den "Sicherheits" Browser benutze?
        Wieso erlaubt due Bank mir überhaupt einen anderen Browser zu nutzen?

  4. Hitomi sagt:

    Linux taucht weder in den Kommentaren noch dem Artikel auf. Warum ist das so?
    Wenn ich faul bin reicht auch ein LiveISO + Firefox + NoScript. Javascript ist dann nur auf der Bankseite erlaubt.

    Und ich war so dumm, ja ICH! Ich dachte immer der TAN-Generator + die Krypto auf der Bankkarte schützen mich. Ist ja nur so, dass mir der TAN-Generator das Zielkonto und den Betrag nochmal anzeigen, und die TAN auch nur für diesen Empfänger funktioniert. /s

  5. Paul sagt:

    Laut deren Gegendarstellung war m. E. das Ziel dieses "Sicherheitsbrowsers" den Kunden die Angst vor dem Onlinebaning zu nehmen.
    Das ist ja wohl gründlich in die Hose gegangen.

  6. A.Nonym sagt:

    Gute Arbeit, Danke

  7. Thor sagt:

    Wo ist eigentlich der CCC?
    Ich würde mir ja wünschen, dass mal jemand wie Lilith Wittmann das Ruder übernehmen würde. Bei dem PR Geschwafel, sollte da mal jemand Klartext reden und die mal ein wenig zerlegen.

  8. Paul sagt:

    Ach.
    Das ist der Grund, das der Kunde ja selbst schuld ist das manche Bank duw DaTen nur 100 Tae bereit hält?
    Oder liegt das daran, dss die Bank für eine Nachforschibg zig Euro kassierten kann?
    Diese Logik mann nur einem BänkerHirn entspringen

    Due fast 2 Jahren kommen durch fue Verjährungs Frist.
    Das wäre, denn die Bänker ehrlich waren dasxsuvh minimum.

    Achso, ich habe auch noch ein online Sparbuch.
    Dort bekomme ivh keine Kontoauszüge.
    Und sehe auch nur die letzren 100 Tage…

    • Bernd B. sagt:

      Please don't drink and comment, dude!

      Sie werden dann so aggressiv und unsachlich

    • Bernd B. sagt:

      …noch etwas Grundsätzliches zur Thematik (Eigen)"Verantwortung":
      Es gibt in der IT das nette Prinzip "Kein Backup? Kein Mitleid!". Exakt das kommt auch bei Kontoauszügen zum Tragen.
      Der Kontoauszug 'zu Hause' ist mein vom Anbieter nicht (ver)fälschbarer Nachweis der Geschäftsprozesse. Diesen habe ich verifiziert und kann deshalb mich darauf verlassen, dass die Angaben per xx.yy.zzzz dem damaligen Stand entsprechen, wahr/zutreffend sind.

      Es ist IMO grob fahrlässig, sich darauf zu verlassen, dass ein Geschäftspartner/Dienstleister Nachweise der Geschäftsvorfälle vorhält – kein seriöser/respektabler Geschäftsmann käme auf die Idee! Sie aber reklamieren es lautstark als Mangel, dass dieser Service nur für 100 Tage geboten würde.
      *SMH*

      • Paul sagt:

        Wir diskutieren huer nicht uber Persown und machen sie persönlich an und unterstellen denen Alkolhol Missbrauch.

        Mannmann.

        Nur zu Deiner Info:
        Diese drecks 2 Jahres Abzocke trifft vorallem die Leute die eh schon nichts haben.
        Sollen die sich doch auch einen Buchhalter einstellen, wie jeder Geschäftsmann das macht.
        Jetzt lass es bitte.
        Wir haben gesehen, was für einen Charakter Du hast.
        Das muß jetzt reichen.

        • Bernd B. sagt:

          Was soll denn das themenferne Gejammer?
          Ihre Schreibstil und Orthographie wiesen ganz klar auf Bewusstseinseintrübung hin – 'besoffen sein' ist da noch die freundlichste Ausrede.

          Und glasklar: Wer nicht geschäftsfähig ist hat in DE das Recht auf einen Vormund, ein begründeter Antrag beim örtlich zuständigen Betreuungsgericht genügt dafür idR. Ihre örtliche Betreuungsbehörde (idR im Sozialamt angesiedelt) unterstützt sie dabei sicher gerne, etwaige Anwaltsgebühren übernimmt bei Bedürftigkeit die Gesellschaft.
          Allen Geschäftsfähigen ist es zuzumuten, ihren Posteingang zu lesen und geordnet abzuheften. Leisten Sie doch _wenigstens_ das, was sie von ihren Geschäftspartnern als Selbstverständlichkeit erwarten!

          • Günter Born sagt:

            Bitte beide den Teilthread mit dieser Diskussion auslaufen lassen – führt nicht weiter und interessiert die Mitleser weniger – danke.

          • Paul sagt:

            Ob es noch Statements geben wird wie so etwas durch alle Audits und trotz Problemen auf den Markt?
            Wäre evtl. auch für andere lehrreich.
            Insbesonderes weil Coronic sich auf seiner Website für Softwarehärtung anbietet.
            Wenn einer so erfahrenen Fiema (die machen das seit über 10 Jahren) schon so etwas passiert, wem kann man noch trauen?

  9. Andreas K. sagt:

    Zum "Problem" mit anydesk:
    In meiner Verwandschaft nutzt jemand starmoney. Remote-Hilfe mit Teamviewer war am Wochenende nicht möglich. Schwarzer Bildschirminhalt.
    Erst mit anydesk konnte ich weiterhelfen, da auch der starmoney-Bildschirminhalt übertragen wurde.
    Wie machen das die eigentlich die offiziellen Supporter?

  10. Sherlock sagt:

    Bleibt also unterm Strich festzuhalten: wer Online-Banking via Browser macht, ist mit S-Protect sicher besser dran als mit normalen Browsern. Die Aussage aber, man könne es auch auf einem von Malware befallenen System bedenkenlos tun, ist natürlich klar hanebüchener Unsinn, der jedem halbwegs intelligenten User sofort alle Hand- und Fußnägel hochklappen lassen müsste. So eine Aussage ist auf dem gleichen Level wie die Aussagen der AV-Ware Hersteller, deren Werbung regelmäßig totale Sicherheit verspricht. Ich mache mein Banking weiter mit meiner Banking-Software und auf keinen Fall mit welchem Browser auch immer.

  11. Rene sagt:

    Kurzer Hinweis bezügl. Chip-Tan in Ergänzung zu deinem S/VB: Die Postbank hat am 24.5. das komplett abgeschaltet – einige waren davon wohl überrascht.
    Die Crux daran: Wer kein Smartphone hat, muss sich einen SealOne-Reader für mindestens 35 Euro (incl. Porto) holen, der Achtung: An einen USB-Anschluss des Rechners angedockt werden muss.
    Na wenn das nicht die absolute Sicherheit ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.