9. September 2022
Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: “Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?” enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: “Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]”.
Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.
Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail (“Identät”) eine Phishing-Mail entlarven.
24. August 2017
Die Sparkassen des Landes wollen ihrem Bezahldienst Paydirekt mehr Nutzer verschaffen und damit zur Konkurrenz für den Branchenriesen Paypal werden. Gelingen soll dies durch eine automatische Anmeldung der Sparkassen-Kunden zu dem Dienst.
Im Wege einer nachträglichen Änderung der AGB des Girokontovertrags wird automatisch jeder Sparkassen-Girokonto-Kunde ab dem 06.11.2017 auch Paydirekt-Kunde, sofern nicht ein Widerspruch erfolgt. Die Maßnahme wird wie folgt formuliert: ,,Wir bieten Ihnen hiermit als Änderung ihres Girokontovertrags die Nutzung von Paydirekt ab 06.11.2017 an.“ Bezüglich des Widerspruchs folgt „Ihre Zustimmung zum Änderungsangebot gilt gemäß §675g Abs. 2 Satz 1 BGB iVm Nr. 2 Abs. 2 unserer AGB als erteilt, wenn sie nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderung ihre Ablehnung angezeigt habe.“ Das automatische Nutzerkonto muss dann nur noch mit einem Klick aktiviert werden. Der Sparkassen-Kunde muss demnach aktiv tätig werden, wenn er der Änderung nicht zustimmt. Es könnte auch wie folgt formuliert werden: Wer der Änderung nicht schnell genug widerspricht, wird Paydirekt-Kunde ob er das will oder nicht.
Derzeit werden rund 2,7 Millionen Kunden benachrichtigt. Zu beachten ist, dass der Stichtag von Sparkassen-Institut zu Sparkassen-Institut unterschiedlich sein kann, weil die Sparkassen über die Umsetzung selbst entscheiden.
Diese Maßnahme ruft Datenschutzbehörden auf den Plan. Sowohl der Landesdatenschutzbeauftragte in Hessen, als auch der in Thüringen prüfen derzeit, ob die Registrierung mit dem Bundesdatenschutzgesetz zu vereinbaren ist. Grundlegendes Problem ist, dass die Zwangsregistrierung dazu führt, dass die den Sparkassen vorliegenden Stammdaten ihrer Kunden an Paydirekt übertragen werden. Ob dafür eine rechtliche Grundlage gegeben ist, wird bezweifelt. Den Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz dürfte das Vorgehen nicht genügen. Paydirekt rühmte sich bisher mit besserem Datenschutz als bei der Konkurrenz, damit ist die momentane Besorgnis bezüglich des Datenschutzes Wasser auf den Mühlen der Konkurrenz.
Der Sparkassen-Verband rechtfertigt die Änderung mit einem Passus in den AGB, der ihnen ermöglicht, Änderungen am Vertrag automatisch wirksam werden zu lassen, sofern der Kunde nicht widerspricht. Die automatische Einrichtung des Paydirekt-Kontos sehen die Sparkassen als Änderung des Girokontovertrages.
Der Erfolg des Vorgehens ist jedenfalls bei Weitem nicht garantiert. Die Kunden müssen das automatische Konto nicht nur aktivieren sondern es auch darüber hinaus auch nutzen wollen. Wie hoch die Motivation zur Nutzung nach einer Zwangsregistrierung ist, bleibt abzuwarten.
23. Oktober 2015
Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.
Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.
Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.
