Heute muss ich ein Bekenntnis loswerden: Seit Jahrhunderten bin ich überzeugter Sparkassenkunde. Die Gründe sind vielfältig. Was spätestens seit heute nicht mehr dazu gehört (vorher aber schon in der Grauzone des Zweifels lag): Vertrauen in die IT-Sicherheit der Sparkasse.
Was ist geschehen? Nichts weiter als dass ich heute vormittag etwas Geld und die aktuellen Kontoauszüge aus den Automaten holen wollte. Ich ging daher zur nächstgelegenen Filiale der Sparkasse Hannover an der Hildesheimer Straße in Hannover. Hupps, dort wird umgebaut. Aber vor dem Gebäude steht ein Container, der die Automaten beherbergt. Prima, also rein dort und die Geschäfte verrichtet.
Also ich dort so stand und darauf wartete, dass meine Auszüge fertig wurden, schwoff mein Blick etwas umher. Neben dem Automaten wurde ich dann doch etwas stutzig … seht selbst:
Völlig ungeschützt sind dort nicht nur die Strom-, sondern auch die Netzwerkanschlüsse zugänglich. Dabei lernt man in jedem IT-Sicherheits-Grundkurs, dass der physische Schutz die erste Verteidigungsebene darstellt. Ist hier keine ausreichende Absicherung vorhanden, kann man alle weiteren Ebenen gleich von vornherein weitgehend vergessen.
An dieser Stelle kann jeder (!):
- Die Kabel abziehen und so innerhalb von Sekundenbruchteilen praktisch ohne Aufwand einen prima DoS-Angriff durchführen
- Die Kabel abziehen und wieder anstöpseln und schauen, wie das Gerät darauf reagiert
- Nach Belieben Geräte zwischen Dose und Gerätestecker einschleifen und den Datenverkehr abgreifen – sicher nicht uninteressant
- Direkt auf den Netzwerkanschluss der Geräte zugreifen und schauen, was man da so anstellen kann
- oder – oder – oder …
Wer nun einwendet: So schlimm sei das schon alles nicht, ein Finanzinstitut sorge schließlich für Verschlüsselung der Daten …
- … hat das Konzept der Layered Security noch nicht verstanden
- … stellt sich nicht ausreichend die Frage, ob eine Bank nicht etwas mehr für das Vertrauen der Kunden tun sollte
- … wird vielleicht durch folgende Geschichte nachdenklich: Vor einiger Zeit beschwerte ich mich bei der Sparkasse, dass das Online-Banking nur maximal fünf Zeichen lange Kennwörter zulässt. Alle Sicherheitsexperten warnen vor zu einfachen Kennwörtern, und nur fünf Zeichen gelten schon seit Jahren als grob fahrlässig. Die Antwort der Sparkassen-IT: Das sei schon okay so. Schließlich seien die tatsächlichen Transaktionen ja jeweils zusätzlich über TANs geschützt und daher bestehe praktisch keine Gefahr. Dass man ohne TAN aber bereits erhebliche Mengen hoch sensibler Daten abgreifen kann, ist den IT-Spezialisten der Bank offenbar nicht in den Sinn gekommen. Übrigens lässt das System auch 2010 noch keine längeren Kennwörter zu …
Update 15. August 2010: Die Sparkasse Hannover hat schnell reagiert und die von uns kritisierten Punkte verbessert. Siehe unseren Artikel: http://www.faq-o-matic.net/2010/08/16/sparkassen-sicherheit-eine-reaktion/
http://faq-o-matic.net/?p=2530