Banken leben im Internet von ihrem guten Ruf – eine Sicherheitslücke kann schwere (und vorallem teure) Folgen haben und entsprechend hart wird gegen Betrüger vorgegangen. Dabei vergessen einige Banken, dass auch in ihrem eigenen Hause die Sicherheit keine Selbstverständlichkeit ist. Gerade wenn viele Schnittstellen bestehen können Schwachstellen entstehen. Ein besonders schönes Beispiel liefert momentan die VR-Bankengruppe. VR-Banken sind Genossenschaftsbanken, gehören also den zugehörigen „Genossen und Genossinnen“. Um Kosten zu sparen haben die nordwestlichen VR-Banken ihre IT bereits 1963 an die „Gesellschaft für automatische Datenverarbeitung“ kurz GAD ausgelagert.
Im Falle der Webseiten betreiben unsere regionalen Banken gewissemaßen eigenständig Portale, welche dann auf Webbanking und Brokerageportal der GAD verlinken. Im Falle des Webbanking funktioniert das anstandslos: Die Bankleitzahl wird per URL übergeben, auf den Servern der GAD geprüft und dann die zugehörigen Logos und Schriftzuge des lokalen Verbundes in die Bankingseite eingefügt.
Bei Brokerage sieht dies etwas anders aus. Der Typische link lautet hier z.B.
https://www.brokerage[…].html?firma=xxx&home=www.yyy.de&bankid=zzz
Jeder, welcher sich etwas mit HTTP auskennt, erkennt sofort worauf ich hinaus möchte: Nicht nur Firmenname, auch Homepage und Bankleitzahl werden per URL übergeben. Zudem zeigte ein Test, dass die Daten nur grob geprüft werden: Zwar werden als Bankleitzahlen korrekterweise nur Zahlen angenommen und die weiteren Angaben von Sonderzeichen bereinigt, fantasieeingaben werden jedoch nicht erkannt. So lassen sich Portale wie folgendes erstellen:
Wie man sieht ist der Titel des Portals auf „Hallo Welt Banking“ geändert. Ein klick auf „Home“ führt zu meiner Internetseite. Durch die Filterung stellt dies zwar keine direkte Gefahr dar, allerdings kann es genutzt werden um Nutzer zu verwirren und hinterlässt bei mir einen faden Beigeschmack.
Hinweis: Die GAD e.G. wurde am 11.10. über diese Möglichkeiten in Kenntnis gesetzt, bisher konnte ich keine Stellungnahme erhalten.
Leider ist das Problem überhaupt nicht neu.
Die GAD hat das klassische Internetbanking damals kurzfristig auf die aktuelle Variante umgestellt. Direkt nach bekannt werden des Problems.
Ich vermute hinter dem Brokerage-Tool eine andere Gesellschaft. Die im übringen auch noch mit iFrames arbeiteit. #FAIL!
Vielleicht steckt die WGZ dahinter.
Wichtig ist aber, dass mal Jemand aufwacht!
@Christoph Ahler
Softwareseitig weiß ichs natürlich nicht, aber die Server des Brokerage laufen jedenfalls bei der GAD.