Community

Antworten
Highlighted
Enrico-C
Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015
Nachricht 1 von 4 (1.053 Ansichten)

Wie vertrauenswürdig ist eine Website, die keine aktuelle Technik nutzt?

Bereits einmal hatte ich darauf hingewiesen, dass die Website der Consorsbank nicht dem Stand der Technik entsprechend abgesichert ist.

 

Das TLS-Zertifikat von Symantec bietet keinen hinreichenden Schutz, denn gerade auch die Firma Symantec ist erneut in Verruf geraten, weil sie wiederholt unberechtigterweise für fremde Websites Zertifikate ausgestellt hat. (http://www.golem.de/news/tls-zertifikate-symantec-verpeilt-es-schon-wieder-1701-125726.html)

 

Wenn es einem Angreifer gelingt, wie im Artikel beschrieben ein Zertifikat für www.consorsbank.de ausstellen zu lassen, genügt eine einfache DNS Spoofing Attacke, um mich auf eine Kopie der Consorsbank Homepage umzuleiten und Überweisungen als MITM abzufangen und auf ein anderes Konto umzuleiten.

 

Sollte dies passieren, sehe ich schon die Antwort von Consors: "Das ist doch nicht möglich." Den Ärger oder den finanziellen Verlust werde ich haben. Oder jeeder andere, dem so etwas passiert.

 

Dabei wäre es so leicht, Attacken dieser Art zu verhindern:

 

Mit DNSSEC, über das meinem Browser (dem TLSA Pluging, das ich selbstverständlich installiert habe wie jeder andere sicherheitsbewusste Nutzer) mitgeteilt wird, welches Zertifikat für diese Website ausschließlich gültig ist.

 

So eine Absicherung, wie es auch Konkurrenten der Consorsbank durchführen, kostet fast gar nichts, erhöht aber die Sicherheit signifikant.

 

Insbesonere ermöglicht es auch, den Mailverkehr mit DANE abzusichern, was derzeit auch nicht möglich ist.

 

Aber auch sonst hat die Mailkonfiguration der Consorsbank katastrophale Sicherheitslücken, wie jeder hier sehen kann: https://de.ssl-tools.net/mailservers/consorsbank.de

 

Wenigstens ein Minimum an Sicherheits- Knowhow sollte man von einer Bank wie Consors erwarten können, oder nicht?

immermalanders
Autorität
Beiträge: 2925
Registriert: 06.02.2015
Nachricht 2 von 4 (966 Ansichten)

Betreff: Wie vertrauenswürdig ist eine Website, die keine aktuelle Technik nutzt?

@Enrico-C, wenn Sie zu diesem Thrma schon etwas gesachrieben hatten, warum haben sie dort keine (weitere) Antwort erstellt?

 

Sie können bisteimmt für Laien erklären, wie man diese DNSSEC Validierung in den verschiedensten Browsern (besonders die auf mobilen Endgeräten) durchführen kann. Was muss der Nutzer alles installieren (Plugin, sonstiges), damit eine Validierung stattfinden kann? Was würde passieren, wenn der Provider oder z.B. der Home-Router kein DNSSEC unterstützt oder jemand die Nutzung von DNSSEC unterbindet? Würde sich das auf die Geschwindigkeit vom Seitenaufbau auswirken?

 

Können Sie in einfachen Worten (für Laien verständlich) erklären, warum, Ihrer Meinung nach, der Mailkonfiguration "katastrophale Sicherheitslücken" aufweist?

 

 

Grüße

immermalanders

 

Antworten
0 Likes
CB_Kai
Moderator
Beiträge: 470
Registriert: 17.09.2015
Nachricht 3 von 4 (891 Ansichten)

Re: Betreff: Wie vertrauenswürdig ist eine Website, die keine aktuelle Technik nutzt?

Hallo @ Enrico-C,

 

die Unterstützung von DNSSEC wird von uns, zusätzlich zu anderen Sicherheitsvorkehrungen,  vorbereitet. Gegenwärtig sind unsere Kunden bereits gegen manipulierte Überweisungen durch die Mobile TAN und den TAN-Generator abgesichert.

 

In diesem Zusammenhang darf ich auf unsere Sicherheitsversprechen hinweisen, dass Ihnen ein risikofreies Onlinebanking gewährleistet.

 

https://www.consorsbank.de/ev/Service-Beratung/Sicherheit#Sicherheitsversprechen

 

Beste Grüße

 

CB_Kai

Antworten
0 Likes
Enrico-C
Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015
Nachricht 4 von 4 (862 Ansichten)

Betreff: Wie vertrauenswürdig ist eine Website, die keine aktuelle Technik nutzt?

[ Bearbeitet ]

Hallo,

 

das Sicherheitsversprechen greift nur, wenn ALLE Voraussetzungen erfüllt sind.

Das lässt reichlich Raum, damit sich Consors im Zweifelsfall rausreden kann und ich Probleme kriege.

 

Das ist keine Lösung.

 

Aber ich hoffe, dass die Umsetzung von DNSSEC bald fertig ist.

 

Und gucken Sie sich um Himmels Willen mal Ihre Mailserver an!

Sowas würde das Landesamt für Datenschutzkontrolle auf jeden Fall anmeckern.

 

Mit freundlichen Grüßen

 

 

@immermalanders : Bitte mal bei der Volkshochschule gucken. Ich bin kein Lehrer und auch nicht dafür da, vollständig unbegründete Ängste vor neuer Technik auszuräumen.

Antworten
0 Likes