Eklatantes Sicherheitsrisiko bei WebStreet! - 500 Beiträge pro Seite

Ich habe seit kurzem ein Depot bei Webstreet. Nach der Übersendung der
Unterlagen habe ich mich gewundert, dass Webstreet keine TANs verwendet.
Ich rief bei Consors an und machte darauf aufmerksam, dass das ein
recht hohes Sicherheitsrisiko darstellt, zumal die Eingabeseite bei der
Registrierung (Eingabe eines Zugangsnamens, eines Zugangs- und Tradingpasswortes)
unverschlüsselt versendet wird. Der Mitarbeiter berief sich unverblümt auf seine
technische Unwissenheit.

Mir der Unsicherheit bewusst, habe ich später auf der verschlüsselten
Webstreet-Seite sowohl Zugangs- als auch Tradingpasswort geändert. Ferner fand ich den
Hinweis, dass das Tradingpasswort mit 128 Bit verschlüsselt wird, was mich dann etwas beruhigte.

Weil ich mein Tradingpasswort vergessen hatte, rief ich bei Consors an. Man sagte mir, mein
Konto werde einfach zurückgesetzt, ich könne dann die Eingabe der Zugangsmodalitäten wiederholen.
Als Sicherheitsabfrage genügte dem Mitarbeiter meine Kontonummer, Strasse und Ort und mein
Geburtsdatum. Über diese Sicherheitsabfrage kann man schon besorgt sein, das folgende stellt
aber wirklich alles in den Schatten:

Ich habe mich heute abend mehrmals bei Webstreet eingeloggt, um zu schauen, ob mein Account noch
gültig ist. Kurz vor 20 Uhr wurde es mir dann zu bunt, weil mein alter Account immer noch
gültig war, und ich rief einfach wieder die Registrierungsseite auf. Dort gab ich meinen
Loginnamen an, meine Kontonummer bei Consors und Webstreet und konnte anschliessend tatsächlich
sowohl Zugangs- als auch Tradingpasswort nach belieben ändern. Ich habe dies 3x wiederholt,
und es hat immer funktioniert. Nach dem Schreiben dieser Sätze habe ich meinen PC neu gestartet
- warum schreibe ich später - und es noch einmal wiederholt, weil es einfach unglaublich ist,
aber es hat abermals funktioniert. Der Grund, warum ich meinen PC neu gestartet hatte, war,
dass ich gestern nach dem Beenden von Netscape und DFÜ-Netzwerk beim abermaligen Aufruf der
Webstreet-Seite gar nicht nach einem Account gefragt wurde. Grund ist wohl, dass diese
Informationen im Cache stehen. Nachdem ich den Cache gelöscht hatte, funktionierte
es nämlich nicht mehr.

Aus diesen Umständen ist zu folgern:
1. Kennt jemand Loginnamen, Kontonummer bei Webstreet und Consors, kann er im Webstreet Depot
machen was er will.

2. Der Kontoaccount wird im Cache abgelegt. Wird beim Verlassen des PCs vergessen, diesen zu
löschen, kann jeder, der Zugriff auf diesen PC hat, durch Aufruf der Webstreet-Page ohne
Abfrage auf die Tradingseite gelangen. Auf dieser Seite sieht man nicht nur Konto- und
Depotstand, sondern auch die Webstreet-Kontonummer. Was dann zur Durchführung von 1. noch
fehlt, ist die Consors-Kontonummer.

Jedem, der sich auch nur oberflächlich mit Sicherheitsrisiken im Inet beim Zahlungsverkehr befasst
hat, stellen sich die Haare zu Berge. Ich werde per Einschreiben mein Konto vorläufig sperren
lassen, bis diese Risiken abgestellt sind. Jedem, der immer noch seinen ersten Account (den von der
unverschlüsselten Eingabeseite) verwendet, kann ich nur raten, schleunigst sein Passwort zu ändern.


Tschernobyl

Ich kann mir ehrlich gesagt nicht vorstellen, wie jemand deinen Loginnamen, die Kontonummer, Namen, Adresse und Geburtsdatum herausfinden sollte, daß jemand an alle diese Daten gelangt ist wohl sehr unwahrscheinlich, außer du gehst sorglos mit den Daten um. Das Ablegen in Cache ist ein Sicherheitsrisiko was du selbst schaffst, dafür kannst du Webstreet wohl nicht verantwortlich machen. Wer alles in den Cache wandern läßt, was er online ausruft, ist wirklich selbst schuld, mit einer kleinen Einstellung im Browser ist dieses Risiko behoben.

The Insider
http://www.insiderinformationen.de

Hallo Insider!

Bitte lies aufmerksam das, was ich geschrieben habe.
Adresse und Geburtsdatum musste ich dem Mitarbeiter von
Consors am Telefon mitteilen, der dann die Eingaben zum
Account wieder zurücksetzen wollte, damit ich sie abermals
eingeben könne. Dies hatte er aber scheinbar versäumt,
und deswegen habe ich es selbst versucht.

Die Kontonummer wird per unverschlüsseltem E-Mail verschickt,
auf die Kontonummer von Consors hat jeder bei meiner
Hausbank Zugriff (wg. Überweisungen). Den Loginnamen herauszufinden
dürfte nicht allzu schwer sein, man hat meiner Erfahrung nach bei
Webstreet unbegrenzte Versuche.

That`s all, auch ohne eingeschalteten Cache. Bei der ersten Eingabe
der Accountdaten werden die Daten ebenfalls unverschlüsselt
verschickt. Wieviele Anwender glaubst du modifizieren später die
Angaben?

Sicher ist die Sicherheit nicht perfekt, aber jemand müßte dich schon auf Schritt und tritt verfolgen und deinen Müll durchwühlen um an alle diese Informationen zusammen zu kommen.
Ich halte es für mit an Sicherheit grenzender Wahrscheinlichkeit für unmöglich, daß ein Mitarbeiter deiner Bank deine eMails abfängt und durch bloßes ausprobieren den Loginnamen findet, gleichzeitig auch noch die von deinem Computer abgesendeten Accountdaten abfängt.
Allgemein: Wer verantwortungsvoll mit seinen Daten umgeht und etwas über die technischen Hintergründe bescheidweiß, setzt sich wohl einem vertretbaren, minimalen Risiko aus. Zumindest halte ich diese Sicherheit für ausreichend, aber jeder hat ja die Wahl. 100%ige Sicherheit bietet kein Anbieter, damit muß man leben. Das größte Problem sind wohl unbedarfte User (damit bist du nicht gemeint), Stichwort "social hacking"...vor einiger Zeit haben z.B. zwei Schüler in den USA hunderte von AOL-Zugangskennungen ergaunert, indem per gefälschter eMail als AOL Mitarbeiter auftraten und die Kunden aufgrund angeblicher Probleme mit deren Accounts um Übersendung von Login, Passwort usw. baten, ähnliche Beispiele gibt es mit Anrufen oder eMails von angeblichen Mitarbeitern von Kreditkartenfirmen.

The Insider
http://www.insiderinformationen.de