Schwachstelle beim Postbank-Onlinebanking
Ohne Kenntnis des Passwortes oder einer PIN ist es möglich, auf ein Konto zuzugreifen. Allerdings muss das Opfer einem Angreifer dazu einen Link mit seiner gültigen Session-ID schicken. Bei unerfahrenen Internet-Nutzern soll dies häufiger mal vorkommen.
- Daniel Bachfeld
Der Südwestrundfunk (SWR3) hat eine Schwachstelle im Online-Banking der Postbank aufgedeckt, mit der es ohne Kenntnis des Passwortes oder einer PIN möglich ist, auf ein Konto zuzugreifen. Allerdings muss das Opfer einem Angreifer dazu einen Link mit seiner gültigen Session-ID schicken. Laut SWR3 soll dies bei unerfahrenen Internet-Nutzern häufiger vorkommen, die per Cut and Paste etwa einem Geschäftspartner die Kopie einer Quittung per Mail schicken wollen. Durch den Aufruf der mitkopierten URL ist es dem Empfänger dann möglich, auf das Konto des Absenders zuzugreifen – ohne allerdings etwas verändern oder überweisen zu können, da ihm dafür die TANs fehlen. Immerhin hat er aber Einblick in den Kontostand.
Über die Session-ID verifiziert die Postbank eine Verbindung zum Kunden nach einer erfolgreichen Authentifizierung. Offenbar geht aber die IP-Adresse nicht mit ein, so dass der Zugriff mit jeder beliebigen IP-Adresse möglich ist – allerdings nur so lange, wie die Session gültig ist. Nach dem Abmelden des berechtigten Kunden wird die Session-ID ungültig, aber nur wenn er die Abmeldefunktion nutzt. Das Schließen des Browser beendet die Session nicht. Nach einer gewissen Zeit der Inaktitivtät setzt der Server die Verbindung aber auch dann automatisch zurück.
Stichprobentests bei anderen Geldinstituten haben die Schwachstelle laut SWR nicht gezeigt. Viele Banken setzten statt Session-ID lieber auf Session-Cookies. Die Postbank selbst sieht das Problem nicht als Sicherheitslücke im herkömmlichen Sinne, da es vollkommen ausgeschlossen sei, Geld zu überweisen. Sie räumt allerdings ein, dass unter bestimmten Umständen Daten eingesehen werden können. Postbank-Pressesprecher Jürgen Ebert: "Möglich ist das, weil in der HTML-Seite auch die URL versteckt ist und in dieser URL verbirgt sich auch die Legitimation." Man wolle jedoch noch 2008 auf Session-Cookies wechseln. Bis dahin gilt: keine Online-Banking-Inhalte mehr kopieren und versenden.
Siehe dazu auch:
- Schwachstelle beim Postbank-Onlinebanking, Meldung vom SWR3
(dab)
