abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Wie vertrauenswürdig ist eine Website, die keine aktuelle Technik nutzt?

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015

Bereits einmal hatte ich darauf hingewiesen, dass die Website der Consorsbank nicht dem Stand der Technik entsprechend abgesichert ist.

 

Das TLS-Zertifikat von Symantec bietet keinen hinreichenden Schutz, denn gerade auch die Firma Symantec ist erneut in Verruf geraten, weil sie wiederholt unberechtigterweise für fremde Websites Zertifikate ausgestellt hat. (http://www.golem.de/news/tls-zertifikate-symantec-verpeilt-es-schon-wieder-1701-125726.html)

 

Wenn es einem Angreifer gelingt, wie im Artikel beschrieben ein Zertifikat für www.consorsbank.de ausstellen zu lassen, genügt eine einfache DNS Spoofing Attacke, um mich auf eine Kopie der Consorsbank Homepage umzuleiten und Überweisungen als MITM abzufangen und auf ein anderes Konto umzuleiten.

 

Sollte dies passieren, sehe ich schon die Antwort von Consors: "Das ist doch nicht möglich." Den Ärger oder den finanziellen Verlust werde ich haben. Oder jeeder andere, dem so etwas passiert.

 

Dabei wäre es so leicht, Attacken dieser Art zu verhindern:

 

Mit DNSSEC, über das meinem Browser (dem TLSA Pluging, das ich selbstverständlich installiert habe wie jeder andere sicherheitsbewusste Nutzer) mitgeteilt wird, welches Zertifikat für diese Website ausschließlich gültig ist.

 

So eine Absicherung, wie es auch Konkurrenten der Consorsbank durchführen, kostet fast gar nichts, erhöht aber die Sicherheit signifikant.

 

Insbesonere ermöglicht es auch, den Mailverkehr mit DANE abzusichern, was derzeit auch nicht möglich ist.

 

Aber auch sonst hat die Mailkonfiguration der Consorsbank katastrophale Sicherheitslücken, wie jeder hier sehen kann: https://de.ssl-tools.net/mailservers/consorsbank.de

 

Wenigstens ein Minimum an Sicherheits- Knowhow sollte man von einer Bank wie Consors erwarten können, oder nicht?

3 Antworten 3

Autorität
Beiträge: 4654
Registriert: 06.02.2015

@Enrico-C, wenn Sie zu diesem Thrma schon etwas gesachrieben hatten, warum haben sie dort keine (weitere) Antwort erstellt?

 

Sie können bisteimmt für Laien erklären, wie man diese DNSSEC Validierung in den verschiedensten Browsern (besonders die auf mobilen Endgeräten) durchführen kann. Was muss der Nutzer alles installieren (Plugin, sonstiges), damit eine Validierung stattfinden kann? Was würde passieren, wenn der Provider oder z.B. der Home-Router kein DNSSEC unterstützt oder jemand die Nutzung von DNSSEC unterbindet? Würde sich das auf die Geschwindigkeit vom Seitenaufbau auswirken?

 

Können Sie in einfachen Worten (für Laien verständlich) erklären, warum, Ihrer Meinung nach, der Mailkonfiguration "katastrophale Sicherheitslücken" aufweist?

 

 

Grüße

immermalanders

 

0 Likes

Moderator
Beiträge: 599
Registriert: 17.09.2015

Hallo @ Enrico-C,

 

die Unterstützung von DNSSEC wird von uns, zusätzlich zu anderen Sicherheitsvorkehrungen,  vorbereitet. Gegenwärtig sind unsere Kunden bereits gegen manipulierte Überweisungen durch die Mobile TAN und den TAN-Generator abgesichert.

 

In diesem Zusammenhang darf ich auf unsere Sicherheitsversprechen hinweisen, dass Ihnen ein risikofreies Onlinebanking gewährleistet.

 

https://www.consorsbank.de/ev/Service-Beratung/Sicherheit#Sicherheitsversprechen

 

Beste Grüße

 

CB_Kai

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 7
Registriert: 08.02.2015

Hallo,

 

das Sicherheitsversprechen greift nur, wenn ALLE Voraussetzungen erfüllt sind.

Das lässt reichlich Raum, damit sich Consors im Zweifelsfall rausreden kann und ich Probleme kriege.

 

Das ist keine Lösung.

 

Aber ich hoffe, dass die Umsetzung von DNSSEC bald fertig ist.

 

Und gucken Sie sich um Himmels Willen mal Ihre Mailserver an!

Sowas würde das Landesamt für Datenschutzkontrolle auf jeden Fall anmeckern.

 

Mit freundlichen Grüßen

 

 

@immermalanders : Bitte mal bei der Volkshochschule gucken. Ich bin kein Lehrer und auch nicht dafür da, vollständig unbegründete Ängste vor neuer Technik auszuräumen.

0 Likes
Antworten