Sicherheitslücke bei Bank-24-Konten

Kunden der Deutschen Bank 24, die ihre Bankgeschäfte per Web erledigen, setzen ihre Konten unter Umständen der Gefahr unbefugter Einblicke aus. Auch nach einer korrekten Beendigung der Banking-Sitzung durch einen Mausklick auf die graue "Beenden"-Schaltfläche bleibt der vom Bankserver vergebene "Session Key" noch aktiv und lässt sich für weiteren Zugriff nutzen, ohne dass ein erneuter Login-Vorgang erforderlich ist.

Kunden, die zum Beispiel ihren Arbeitsrechner für private Kontotransaktionen benutzen und anschließend ihren Arbeitsplatz verlassen, laufen Gefahr, dass neugierige Kollegen anschließend von dort aus in ihren Konten herumspionieren. Dazu genügt schon ein einfacher Klick auf den Back-Button oder die History-Liste des benutzten Internet-Browsers. Danach können Schnüffler und Spione alle Banking-Funktionen nutzen, die keine TAN-Eingabe erfordern. TAN-pflichtige Operationen bleiben vor ihrem Zugriff geschützt.

Stefan Schwab, Abteilungsleiter für Internet und neue Medien bei der Deutschen Bank 24, zeigte sich gegenüber c't überrascht: "Das Problem hatten wir vor zwei, drei Monaten schon mal, ich hielt das jetzt für erledigt." Pustekuchen – den Bank-24-Programmierern ist es offenbar nicht gelungen, alle Sicherheitslücken zu schließen. Der "Session Key" einer Sitzung wird nämlich in der Browser-URL gespeichert, und Web-Browser pflegen sämtliche URLs einer Internet-Surftour in ihrer History-Liste sowie im Browser-Cache aufzubewahren. Unangenehme Konsequenz: Sogar nach einem Neustart des Rechners können sich neugierige Zeitgenossen noch Zugang zu fremden Konten verschaffen.

Glücklicherweise kann man das Problem aussitzen, denn der "Session Key" ist nur eine begrenzte Zeit aktiv. Wer vor seinem Rechner zehn Minuten lang ausharrt, ohne eine Banking-Funktion zu nutzen, kann ihn anschließend beruhigt verlassen – nach dieser Zeit verliert der aktuelle Key seine Gültigkeit. (ku)