Kommentare zu folgendem Beitrag: MasterCard-Prepaid von Bank-Sicherheitsleck betroffen?
Kommentar von Manuel Bonik:
Ich habe auch schon mal versucht, meine Bank auf Sicherheitsdefizite hinzuweisen, und keine Antwort gekriegt. Es ging nicht direkt um eine Sicherheitslücke, sondern nur darum, warum sie ihre MobileTANs nicht case sensitive verschlüsseln, also mit Unterscheidung zwischen Groß- und Kleinbuchstaben.
Ein Problem ist wohl, dass das Herz vieler Bankensysteme uralt ist, noch in Assembler o. ä. programmiert, und dass sie dafür kaum noch Programmierer kriegen. Damit wird es dann schwierig oder gar unmöglich, am Gesamtsystem was zu ändern.
Kommentar von Perseus:
Danke. Das ist interessant! Würde also heissen die Bank fährt aus Kostengründen die alten Programme weiter und nimmt das Risiko bewusst in Kauf anstatt es zu minimieren.
Kommentar von Manuel Bonik:
Mit Kosten lässt sich da viel, aber nicht alles erklären. Es geht auch um Programme, die die „digital natives“ nur vom Hörensagen kennen. Nichts mit Klicken oder Wischen, sondern richtig digital: Nullen und Einsen.
Kommentar von Lars Sobiraj:
Tja ja, die heutigen Entwickler können nur im Ausnahmefall Assembler. Die kommen einem oftmals mit objektorientierten Programmiersprachen…
Kommentar von deubacoba:
Die Herzen aller Banksystem für das Fußvolkbanking sind von jeher Mainframes. Da geht es neben dem Thema Performance hauptsächlich um Anlaufsicherheit, automatische Fehlervermeidung, -findung und korrektur.
Eine Verlagerung der PBC Prozesse mach aber nur dann Sinn, wenn die Kosten auch an die Kunden weitergegeben werden können. Gerade im Transaction-Banking haben wir uns als Kunden (und damit meine ich auch die Geschäftskunden) an effektive Buchungskosten unterhalb der 0,1 Cent Grenze gewöhnt. Das funktioniert aber nur auf diesen Blechen. Das macht die Hinentwicklung der Backends zu eine veränderte Kundenlandschaft und eine anderes Kundenverhalten eigentlich vollkommen unsinnig.
Den Unsinns kann man sich bei den Direktbank-Töchtern anschauen, da werden x-unterschiedlichen Interface-Systeme aufgesetzt um dem Kunden das Jahr 2015 vorzugaukeln, während es auf Transaktionsebene immer noch 1980 ist. Die Technik und das Blech sind dabei noch nicht mal uralt, sie sind eher sehr speziell.
Neben der Technik (zu 50% RACF - irgendwo muß Big Blue auch Kohle machen) ist ein noch größeres Problem die Prozesslogik, die in den Mainframe und Hostsysteme steckt. Wenn es jemand gibt, den eine Bank noch weniger mag als die eigene Kunden, dann sind es die eigenen Mitarbeiter. In den Systemen sind alle notwendigen Checks & Balances eingearbeitet. Diese nachzubauen, falls es noch einen Senioren gibt, der weiß wo das Handbuch dazu liegt, ist bislang die Hürde an denen alle gescheitert sind. Damit ist eigentlich nur die SAP gemeint, die zeit bald Jahrzehnten versucht in ihrem Banking Modul die allgemeinen GVOs, so abzubilden, daß sie nicht gleich beim Hereinkommen wieder rausfliegen.
Davon Abgesehen, was soll denn die Groß- und Kleinschreibung großartig an Sicherheit bringen? Die Lücken sind doch beim TAN Banking nicht die Daten die übertragen werden, sondern die Übertragung derselben von einer nicht näher spezifizierbaren Umgebung in eine sichere Umgebung bzw. zuerst in der anderen Richtung.
Kommentar von deubacoba:
Welches Risiko denn? Risiken werden bei Banken im PBC in MEU auf Transaktion bewertet. Wenn jemand Lars’ Dispo ausreizen würden, dann ist das ein Problem für den zuständigen Mitarbeiter (der kann seinem Bonus hinterherweinen, wenn er das nicht geregelt bekommt), gegen den Ausfall hat sich die Bank ohnehin versichtert.
Kommentar von Manuel Bonik:
Du meinst, dass case sensitive die Sicherheit nicht erhöht?
Kommentar von deubacoba:
Ja und nein. Eine höhere Komplexität des TAN-Codes, etwas durch Groß- und Kleinschreibung macht den Code schwerer zu knacken. Das Problem liegt aber im Gesamtprozess, Code wird von A nach B übertragen, B beauftragt A Transaktion T auszuführen, dazu wird Code von B nach A übertragen. Danach wandelt A Code in vorgelagerten Systeme bedarfsgerecht um bevor T tatsächlich im Backend ausgeführt wird. Je nachdem, wo der potentielle Bösewicht hockt ist es viel einfacher sich in bzw. an die Kommunikatiosschritte zu klemmen.
Kommentar von Maria:
Mastercard sind auch leider betroffen . Und die Kunden werden leider allein gelassen . Jemand in England hat Geld vom meine Karte abgehoben (ich kenne kein Mensch da), und ich muss selber finden wie ich es wieder zurück bekomme (weil ich Inhaberin von die Karte bin).Kundenservice ist nicht hilfreich. Zeit und Geld verlust.
Kommentar von Marie B.:
Ich bin verzweifelt … Ein Mastercard-Kunde der Novum Bank hat von meinem Girokonto zwei schriftliche Überweisungen ausführen lassen (319+95 Euro) !! , Ich bin weder Novum Kunde, noch besitze ich überhaupt eine Kreditkarte !! … Nach allem was ich jetzt im Net so lese wird mir himmelangst, ob ich mein Geld überhaupt wieder kriege … Ich bin Postbank-Kundin und die haben trotz meiner mehrmaligen Mail-Kontaktaufnahme nach über einer Woche nichts getan … Wenn man bei der Postbank anruft wird nur alles immer ständig weitergeleitet und man bekommt keinen direkten Ansprechpartner … Wenn es jetzt auch noch solche Schwierigkeiten innerhalb der Novum-Bank gibt, dann werde ich kleine Rentnerin wohl das Geld verlieren … Man findet im Net nicht einmal eine anständige Telefonnummer der Novum-Bank in Deutschland. … Kann mir jemand so eine Telefonnummer sagen ? … lg Marie
Kommentar von Maria:
Leider sollen Sie hinten Ihrer Geld rennen. Welche Transaction Beschreibung haben Sie? Vielleicht fäng mit SKR*NIE… an? Falls ja, sollen Sie bei der Polizei Anzeige erstatten. Sie können vielleicht weiter helfen.
Kommentar von Maria:
Könnten Sie vielleicht mit Markt mischt sich ein (NDR) kontaktieren. Als Rentnerin könnten Sie vielleicht eine Chance haben…
Kommentar von Marie B.:
Vielen lieben Dank für Ihre Tipps, Maria … Die Transaktions-Beschreibung war nur „Überweisung neutral“ … Habe aber inzwischen schon einen Teil der Summe von der Novum-Bank zurück bekommen … Den Rest zahlt meine Bank mir zurück … Die Anzeige bei der Polizei mache ich morgen, Montag … Hoffentlich schaffe ich das, bin mit den Nerven am Ende.