Kommunikation mit der Bank wird immer gef\u00e4hrlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko tr\u00e4gt ja bekanntlich der Kunde.<\/p>\n
BSI-zertifizierter Kobil Kartenleser gehackt<\/strong><\/p>\n Tja, so eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI f\u00fcr den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden<\/a>. Und schon hat sich die Sicherheit erledigt. Und sehr sch\u00f6n, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um „eine \u00fcberschaubare Kundengruppe“ handeln soll und die die Anwendungen f\u00fcr Geldkarte, HBCI und Secoder nicht von der L\u00fccke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja f\u00fcr den Schaden haften, wenn was schiefgeht.<\/p>\n Mehr Geldautomaten werden manipuliert<\/strong><\/p>\n Das Abheben von Geld am Geldautomat wird daf\u00fcr auch immer unsicherer. Das BKA warnt mal wieder vor Skimming<\/a>, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen, sagte BKA-Pr\u00e4sident J\u00f6rg Ziercke. Und: „Viele Banken w\u00fcrden die Manipulationen nicht melden, weil sie sonst um ihre Reputation f\u00fcrchteten“. Na toll. Aber laut AGB haftet eh der Kunde.<\/p>\n OCSP rettet uns auch nicht<\/strong><\/p>\n Und f\u00fcr das gew\u00f6hnliche Internet-Banking gibt es auch beruhigende Nachrichten f\u00fcr den b\u00f6sen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die G\u00fcltigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erkl\u00e4rt man dem Browser \u00fcber eine OCSP-Statusmeldung einfach, der Server sei \u00fcberlastet<\/a> und der Browser solle es sp\u00e4ter nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.<\/p>\n