Logo faq-o-matic.net
Logo faq-o-matic.net

IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann

7 Aug 2010
von veröffentlicht am7. August 2010, 22:23 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 19. August 2010

Heute muss ich ein Bekenntnis loswerden: Seit Jahrhunderten bin ich überzeugter Sparkassenkunde. Die Gründe sind vielfältig. Was spätestens seit heute nicht mehr dazu gehört (vorher aber schon in der Grauzone des Zweifels lag): Vertrauen in die IT-Sicherheit der Sparkasse.

Was ist geschehen? Nichts weiter als dass ich heute vormittag etwas Geld und die aktuellen Kontoauszüge aus den Automaten holen wollte. Ich ging daher zur nächstgelegenen Filiale der Sparkasse Hannover an der Hildesheimer Straße in Hannover. Hupps, dort wird umgebaut. Aber vor dem Gebäude steht ein Container, der die Automaten beherbergt. Prima, also rein dort und die Geschäfte verrichtet.

Also ich dort so stand und darauf wartete, dass meine Auszüge fertig wurden, schwoff mein Blick etwas umher. Neben dem Automaten wurde ich dann doch etwas stutzig … seht selbst:

image

Völlig ungeschützt sind dort nicht nur die Strom-, sondern auch die Netzwerkanschlüsse zugänglich. Dabei lernt man in jedem IT-Sicherheits-Grundkurs, dass der physische Schutz die erste Verteidigungsebene darstellt. Ist hier keine ausreichende Absicherung vorhanden, kann man alle weiteren Ebenen gleich von vornherein weitgehend vergessen.

An dieser Stelle kann jeder (!):

  • Die Kabel abziehen und so innerhalb von Sekundenbruchteilen praktisch ohne Aufwand einen prima DoS-Angriff durchführen
  • Die Kabel abziehen und wieder anstöpseln und schauen, wie das Gerät darauf reagiert
  • Nach Belieben Geräte zwischen Dose und Gerätestecker einschleifen und den Datenverkehr abgreifen – sicher nicht uninteressant
  • Direkt auf den Netzwerkanschluss der Geräte zugreifen und schauen, was man da so anstellen kann
  • oder – oder – oder …

Wer nun einwendet: So schlimm sei das schon alles nicht, ein Finanzinstitut sorge schließlich für Verschlüsselung der Daten …

  • … hat das Konzept der Layered Security noch nicht verstanden
  • … stellt sich nicht ausreichend die Frage, ob eine Bank nicht etwas mehr für das Vertrauen der Kunden tun sollte
  • … wird vielleicht durch folgende Geschichte nachdenklich: Vor einiger Zeit beschwerte ich mich bei der Sparkasse, dass das Online-Banking nur maximal fünf Zeichen lange Kennwörter zulässt. Alle Sicherheitsexperten warnen vor zu einfachen Kennwörtern, und nur fünf Zeichen gelten schon seit Jahren als grob fahrlässig. Die Antwort der Sparkassen-IT: Das sei schon okay so. Schließlich seien die tatsächlichen Transaktionen ja jeweils zusätzlich über TANs geschützt und daher bestehe praktisch keine Gefahr. Dass man ohne TAN aber bereits erhebliche Mengen hoch sensibler Daten abgreifen kann, ist den IT-Spezialisten der Bank offenbar nicht in den Sinn gekommen. Übrigens lässt das System auch 2010 noch keine längeren Kennwörter zu …

Update 15. August 2010: Die Sparkasse Hannover hat schnell reagiert und die von uns kritisierten Punkte verbessert. Siehe unseren Artikel: http://www.faq-o-matic.net/2010/08/16/sparkassen-sicherheit-eine-reaktion/

Verwandte Beiträge:

  1. Sparkassen-Sicherheit: Eine Reaktion
    Vor einigen Tagen berichtete ich über ein IT-Sicherheitsproblem, das mir bei der Sparkasse Hannover aufgefallen war: [faq-o-matic.net » IT-Sicherheit, der...
  2. Warum kann ich einen User nicht mit dem "memberOf"-Attribut einer Gruppe hinzufügen?
    Das Feld "memberOf" ist ein sog. "Backlink"-Feld, das zur Abfragezeit berechnet wird. Sein Wert setzt sich "rückwärts" aus den Gruppenmitgliedschaften...
  3. Warum funktioniert die Änderung einer Gruppenmitgliedschaft nicht?
    Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen...
  4. Warum kann ein Benutzer Dateien ändern, für die er keine Rechte hat?
    Benutzer können Dateien löschen, auf die sie keinen Zugriff haben. Das ist das, was als Feature (!) dokumentiert ist, sich...
  5. „Benutzer kann Passwort nicht ändern“-Option auf Abwegen
    Neulich rief ein Kollege bei mir an und berichtete mir, dass einige Benutzer ihre Domänenpasswörter nicht mehr ändern konnten. Sie...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=2530
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!