Die Volksbank wie auch die Sparkasse sind nicht immer die Sichersten.
Aber das liegt nie an einem Punkt und ist meist nicht so gravierend wie man es denkt.
Oftmals ist es wieder der Drahtseilakt zwischen Komfort, Kosteneffektivität, Benutzbarkeit und Sicherheit.
Leider kommt letzteres oftmals zu spät und zu schwach dran.
Bei einigen Gesprächen mit Automatenherstellern und Entwicklern vielen immer wieder bestimmte Aspekte und Problematiken zu Tage die sich seit Jahren nicht geändert haben.
Gewinnspiele einzelner Regionaler Banken werden von ortsansässigen/lokalen IT-“Fach”leuten gemacht.
So kommt es zustande das mal ein unsicheres WordPress aufgesetzt wird, das ein selbst geschriebenes Gewinnspiel ohne Passwort Schutz hat.
Dann wird ein 2. Server als Lastausgleich hingestellt, kurz inkorrekt gespiegelt und schon fehlt die .htaccess.
Hätte ich das damals nicht gemeldet, hätte ich einen schönen VW-Bus erhalten.
Als Dankeschön bot man mir eine Ausbildungsstellen oder alternativ ein Bier an. Damals brauchte ich das nicht, als ich darauf zurückkam, war das Angebot weg.
So, nun zu den akuten Problemen.
Während die Sparkasse strikt die Daten vergibt (außer Online Passwort) und der Benutzer keinen Einfluss darauf hat wie diese Zugangsdaten auszusehen haben, ist die Volksbank hier ganz anderer Meinung. Wobei es eher Fiducia trifft, die das System entwickeln, wobei ich mir vorstelle, das diese nur den Anforderungen des Auftraggebers nachgehen und selbst die Möglichkeiten im System haben dies anderweitig zu lösen.
Der User darf sich Benutzernamen & Pin selbst geben, selbst bei Karten ist es möglich die Pin nach seinen Wünschen zu gestalten.
Während bei der Sparkasse sich der Angriff auf gezielte User weniger lohnt, ist es bei der Volksbank umso rentabler.
Natürlich ist der Zugangsdaten Verlust bei der Volksbank wesentlich geringer, aber ich vermute die Statistik über infiltrierte Konten ist höher als bei der Sparkasse.
Leider kann man hier nur vermuten beide Banken ihr Gesicht wahren wollen, da wohl jeder mit leicht gläubigen Kunden zu tun hat.
Ich möchte darauf hinweißen, ich klassifiziere hier nicht alle als leichtgläubig, doch eine Menge Leute sind schon auf einige Tricks reingefallen, auch meiner selbst und einiger wirklich guten IT-Leute die ich kenne.
Ich denke, diesen Drahtseil Akt mit der Sicherheit, können Banken Kunden nicht vor sich selbst schützen. Das Problem wird immer weiter bestehen.
Dank einigen Leuten diverser Geldautomaten Hersteller habe ich mehrfach gehört das Macspoofing und MITM Attacken beim Lan wohl eine wahre Gefahr wären die bis heute anhält.
In 3 Filialen in meiner Umgebung einer Bank ist der Automat so gesetzt das ich ohne weiteres einen Raspberry Pi hinsetzen kann. Bei einer Bank sogar so geschickt, das ich mittels RPI3 mir einen Remote Zugriff zum Netzwerk erhoffen könnte ohne das es auffällt.
Kameras sind auch nicht aktiv oder gar defekt und die Zugangskontrollen bei einer Filiale habe ich bereits mit alternativen Karten getestet.
Ich vermute immer noch das nur das Ablaufdatum kontrolliert wird oder das es einfach nur über eine Überbrückung der Kontakte läuft.
Wichtiger Aspekt bei den 3 Filialen, alle 3 werden in naher Zukunft geschlossen. Eine darunter aus Sicherheitsgründen.
Wer nun ein wenig Ahnung hat, kann sich nun Vorstellen wie gerne ich hier weiter gehen würde. Ich traue es mich nicht, da alleine der Versuch Strafbar ist und Banken hier nicht so freundlich agieren.
Über konstruktive Beiträge (auch Kritik) würde ich mich sehr freuen.
PS. Nachtrag, die alten Kontoauszugsdrucker sind zum Teil auch fähig mehr zu machen wie sie vermuten lassen.
PPS. Da ich darauf jetzt schon angesprochen wurde, nein, dieser Beitrag ist nicht gegen die Unternehmen, sondern soll nur zeigen wie schwer es ist ein sicheres und komfortables System zu erschaffen. Auch wenn sich der Beitrag negativ anhört, ist er überwiegend positiv gemeint. Fiducia ist ein sehr interessantes Unternehmen bei dem ich sehr gerne mal arbeiten würde. Und die Banken müssen auch schauen das sie mit der Zeit gehen, nur jeder BWL/VWL oder anderweitig mit Betriebswirschafts befassender Mensch, wird sofort erkennen das ein jährliches Sicherheitsupgrade unbezahlbar wäre. Daher werden unrentable Filialen geschlossen. Selten mit Automaten, doch das gibt es wie bei den 3 von mir beschriebenen Filialen.
Es gibt Banken die man wirklich an den Pranger stellen sollte, aber diese werde ich nicht nennen. Wer möchte kann sie selbst suchen. Es beginnt damit das sie sich an Sicherheitsstandards von 1996 halten, die man heute selbst in den veralteten IT-Schulen nicht mehr beibringt.
PPPS. In einer Email schrieb man mir, das dass mit der Zugangskontrolle nicht so schlimm sei, doch das ist es. Eine echte Überprüfung ist machbar, aber bei kleinen Filialen zu Zeitaufwendig und zu Kostenineffizient. Logging, Validierung & mehr sind möglich, kosten bei diesen kleinen Geräten aber gleich massiv mehr und lohnt sich für solche Unternehmen nur begrenzt.
Wichtig wäre solch ein Schutz um gegen Analysen der Umgebung vorzugehen und auch um etwaige böse Menschen fernzuhalten.
Natürlich finden diese immer Mittel und Wege, aber die Leute die nicht so weit gehen würde, haben einen Schritt mehr zu tun da unentdeckt rein zu kommen.