Postbank führt Session-Cookie im Online-Banking ein
Bislang wurde eine Sitzung nur anhand der Session-ID in der URL abgesichert. Damit war es prinzipiell ohne Kenntnis des Passwortes oder einer PIN möglich, auf ein Konto zuzugreifen. Die Session-Cookies verhindern dies.
- Daniel Bachfeld
Die Postbank hat aus Sicherheitsgründen Session-Cookies zur zusätzlichen Absicherung von Online-Banking-Verbindungen eingeführt. Damit hat die Postbank die im März angekündigte Einführung der neuen Technik noch in diesem Jahre umgesetzt.
Bislang wurde eine Sitzung nur anhand der Session-ID in der URL abgesichert. Damit war es prinzipiell ohne Kenntnis des Passwortes oder einer PIN möglich, auf ein Konto zuzugreifen. Allerdings musste dazu der Inhaber eines Kontos einem Angreifer einen Link mit seiner gültigen Session-ID schicken.
Offenbar soll dies unter unglücklichen Umständen bei unerfahrenen Internet-Nutzern häufiger vorkommen, die per Cut and Paste etwa einem Geschäftspartner die Kopie einer Quittung per Mail schicken wollen, wie Anfang des Jahres eine Recherche des Südwestrundfunks (SWR3) ergab. Durch den Aufruf der mitkopierten URL war es dem Empfänger dann möglich, auf das Konto des Absenders zuzugreifen – ohne allerdings etwas verändern oder überweisen zu können, da ihm dafür die TANs fehlen.
Die Session-Cookies sind ab sofort aktiv und werden normalerweise automatisch vom Browser akzeptiert. Ihre Gültigkeit erlischt automatisch mit dem Beenden der Bankverbindung. Laut Postbank werden Kunden, die Cookies im Browser deaktiviert haben, bei jedem Login gewarnt und gebeten, zur Erhöhung der Sicherheit beizutragen und die Funktion zu aktivieren. Andernfalls verzichte der Kunde auf die erhöhte Sicherheit, müsse dann aber eine höhere Sorgfalt bei der Sicherheit beachten und etwa keine Quittungs-Seiten aus dem Online-Banking an Dritte senden.
Für Sitzungen sowohl mit als auch ohne Cookies gilt weiterhin, dass Kunden beim Beenden des Online-Bankings nicht einfach nur den Browser schließen, sondern Button "Banking beenden" anklicken. Damit werden die Session-ID und das Session-Cookie sofort ungültig. Andernfalls setzt der Server die Verbindung zwar auch automatisch zurück, allerdings hätte ein Angreifer noch einen gewissen Zeitraum, um die Session-ID und/oder das Session-Cookie zu verwenden.
Siehe dazu auch:
- Schwachstelle beim Postbank-Onlinebanking, Bericht auf heise Security
(dab)
