Banken-Fail I: Wenn Banker frei drehen, und 15.000 USB-Sticks verschicken, um Papier zu sparen

Stop - PixabayEs gibt so Tage, das fasst Du dich an den Kopf und bettelst "Herr, wirf Hirn vom Himmel". Ich plane schon länger eine Artikelreihe zu Banken-Fails – also Entwicklungen, wo Banken keine gute Figur machen. Eigentlich war was zum Thema TAN-Generatoren für Teil 1 vorgesehen, ich wurde aber von der Wirklichkeit rechts überholt. Die Sparkasse Bremen hat 15.000 USB-Sticks per Brief an seine Geschäftskunden verschickt, um denen die AGBs zu übermitteln. Ziel war es, Papier zu sparen. Nett gedacht ist nicht gut gemacht – USB-Sticks zu verschicken ist aus Sicht der Cybersecurity das Dümmste, was Du machen kannst.


Anzeige

Die Sache mit den Fähnchen, …

Die Story kann natürlich nicht ohne einen Kalauer starten, denn es gibt die "Sache mit den Fähnchen" – für Nicht-Insider: Das war eine Sparkassen-Werbung aus dem Jahr 2013 für das Girokonto. Die 08/15-Bank hatte Krisensitzung der Führungsetage anberaumt, um Kunden zu gewinnen. Vorschläge waren "Bunte Fähnchen zu verteilen", oder "Kundenansprache individuell" – es folgte der Vorschlag "wir machen das mit den Fähnchen" – der Clip lässt sich auf YouTube ansehen.

Wir machen das mit den Fähnchen

… äh mit USB-Sticks

Die Sparkasse Bremen sah sich in der juristischen Verpflichtung, ihre Geschäftskunden über neue Allgemeine Geschäftsbedingungen (AGB) zu informieren. Standardmäßig heißt das, eine Menge Papier bedrucken, in 15.000 Kuverts eintüten und verschicken. Aber jemand hatte eine gute Idee: Um Papier zu sparen, speicherte man die AGBs auf USB-Sticks, klebt diese auf Postkarten und verschickt diese an die Firmenkunden.

Postkarte der Sparkasse mit USB-Stick


Anzeige

Das ist nun kein Witz geblieben, ein Reddit-Nutzer hat das obige Bild mit der Postkarte und dem aufgeklebten USB-Stick gepostet. Spiegel Online hatte erstmals berichtet (hinter einer Paywall) und von der Sparkasse die Bestätigung erhalten, dass der Bericht zutrifft. Der Spott der reddit-Nutzer ist der Sparkasse Bremen sicher. O-Ton 1: "Plottwist: Sparkasse weis von nichts aber du hast jetzt einen Trojaner. ", Antwort "Entweder das oder das ist deren Verständnis von Digitalisierung."

Ein weiterer Reddit-Nutzer sieht ein echtes Problem: "Plot twist: Mein Endgerät hat gar keinen USB A Port mehr. Und Oma Gruber aus dem Seniorenstift nebenan hat da auch ein Problem." Nun ja, den guten Mann kann man beruhigen, "Oma Gruber aus dem Seniorenstift" gehört nun nicht mehr zur Gilde der Sparkassen-Geschäftskunden – das Fähnchen habe ich gleich mal abgeräumt.

Das Dümmste seit langem

Ich bin über nachfolgenden Tweet von Dennis Kipker, Professor für Sicherheit, auf das Thema gestoßen – heise hat es aber ebenfalls aufgegriffen. Kipker bringt es auf den Punkt: Ehrlicherweise ist das mit Verlaub das Schwachsinnigste, das ich seit Jahren in Sachen Cybersecurity gelesen habe: "Eine Bank hat per Post knapp 15.000 USB-Sticks mit neuen Geschäftsbedingungen verschickt."

Kritik an Sparkassenaktion

Es ist eine nette Idee, aber nicht zu Ende gedacht – oder halt Digitalisierung 2024 in Deutschland. Bereits 2017 hatte ich den Beitrag IBM-Warnung: Malware auf USB-Sticks hier im Blog, der das Übel sofort auf den Punkt bringt. Kein Unternehmen verschickt mehr USB-Sticks, weil diese ein Sicherheitsrisikio darstellen. Im gleichen Jahr hat es dann den Hersteller von Elektroschaltschränken, Rittal, getroffen, der einen USB-Stick, der als HID-Tastatur agiert, verschickte (siehe Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert).

Spätestens da hätte das Thema erledigt sein müssen. Aber es ist wie bei Microsoft: Unter dem Motto 'Und sie lernen es nicht' verschickte ein Versicherer 2018 USB-Sticks an Kunden, um für seine neusten Angebote zu werben. Ich hatte es im Blog-Beitrag Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung thematisiert.

Es hat etwas Mühe und Zeit gekostet, um den Hattrick voll zu machen – wir mussten bis 2024 warten, bis die Sparkasse Bremen das "Tor" mit ihrer Aktion erzielt hat. Bei heise las ich von der Sorge vor Drittbrettfahrern. Mal schnell einige USB-Sticks präpariert und Sparkassen-Geschäftskunden über deren Briefköpfe oder Internetauftritte identifiziert – schon kommt der Trojaner per Post – und im Mantel der Sparkasse – frei Haus. Ich bremse ja schon mal beim allzu blauäugigen "Drang zur Cloud". So hatte ich mir Digitalisierung dann aber auch wiederum nicht vorgestellt.

Ähnliche Artikel:
Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung
Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert
IBM-Warnung: Malware auf USB-Sticks

Artikelreihe:
Banken-Fail I: Wenn Banker frei drehen, und 15.000 USB-Sticks verschicken, um Papier zu sparen


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

84 Antworten zu Banken-Fail I: Wenn Banker frei drehen, und 15.000 USB-Sticks verschicken, um Papier zu sparen

  1. Hilti sagt:

    Kaspersky hat auch schon USB-Sticks an Partner verschickt.
    Immerhin war deren Form originell und es war ein Rettungssystem drauf.

    • Pau1 sagt:

      Es gibt auch Firmen, die den Kunden Rechner ohne DVD Laufwerk verkaufen (immerhin 15 Euro) und dann feststellten, dass sie kein Konzept für Software Updates haben weil die Kunden sich aus Sicherheitsgründen weigern online Zugänge bereit zustellen.
      Da bleibt nur USB-Stick, zumal DVD ein Auslaufmodell ist. Ich habe nur für Notfälle ein USB-BlueRay-Laufwerk,aber brauchenbtut man es nicht,da die Treiber auf den beiliegenden CDs eh veraltet sind.

      insofern bleibt nur der USB-Stick, oder?

      und man muß Windows nur sagen ,dass es keine neuen Tastaturen zulassen darf.

    • 1ST1 sagt:

      Hab hier auch zwei Stück von Bitdefender liegen, die ich als Werbegeschenk bekam. Der eine ist aber schon kaputt, habe ihn aber wegen seiner besonderen Form aufgehoben. USB-Sticks bekommt man oft als Werbegeschenk, oder auch mal als Jobsuchender mit einem Arbeitsvertragsentwurf drauf, also wenn man schon seinem künftigen Arbeitgeber (großer IT-Dienstleister) nicht vertraut, dann…

      • Bolko sagt:

        Defekte USB-Sticks kann man oft wieder reparieren.

        Dazu mit ChipGenius den Flash-Controller-Chip im Stick identifizieren ("Controller Part-Number").

        Danach mit dem zu diesem Chip passenden smimptool oder dynamptool den Flashspeicher Low-Level formatieren.

        Oftmals ist nur eine einzige Zelle defekt und die wird dann ausgeblendet.

      • Rolf sagt:

        Und so scheiden sich die Geister, als IT-Dienstleister würde ich es als fetten Pluspunkt betrachten, wenn der Bewerber mir und meinem USB-Stick nicht blind vertraut. Dann ist nämlich die Wahrscheinlichkeit deutlich geringer, dass er bei meinen oder Kundensystemen irgendwelche unbekannten USB-Sticks einsteckt.

  2. Nobody sagt:

    "USB-Sticks zu verschicken ist aus Sicht der Cybersecurity das Dümmste, was Du machen kannst."
    Die übliche Kundschaft hier weiß sicherlich, wie das gemeint ist. Interessierte Laien wie ich kommen da allerdings erst mal ins grübeln. Warum soll das verschicken von USB-Sticks gefährlich sein? Nach diesbezüglicher Recherche kommt unsereiner auf den Trichter, dass eher die Nutzung des Sticks ein Sicherheitsproblem sein könnte.

    • Günter Born sagt:

      Ich muss es mal thematisieren. Aktuell gibt es konkrete Warnungen vor "manipulierter Hardware als Angriffsvektor" (Stichwort weltpolitische Lage) – und da gehören USB-Sticks mit dazu. Ist aber wieder das übliche Problem: "Haben viele nicht auf dem Radar, aber schreibe um Gottes Willen nicht, von wem Du das hast und verändere den Text …, dass keine Rückschlüsse möglich sind". Und so dümpelt das nach auf meiner Halde "könntest Du mal drüber schreiben".

      • 1ST1 sagt:

        So wie der auf der Postkarte aufgeklebt ist, hab ich den auch ruckzuck mit einem Verlängerungskabel am PC hängen und kann ihn auch noch bevor der finale Empfänger ihn erhält, noch auslesen oder infizieren, physikalische Man in the Middle Attack.

        Was wohl mehr Ressourcen in der Herstellung benötigt, ein USB-Stick oder ein paar Blatt Papier?

        • Bernd B. sagt:

          FWIW: Alleine die AGB sollen 140 Seiten haben – wären beidseitig bedruckt also also mindesteens 140x Toner auf 70 Blatt Papier.

          • Pau1 sagt:

            AGBs kommen meist sehr kleingedruckt.
            Für die 140 Seiten werden 20 Blatt reichen.

          • Dat Bundesferkel sagt:

            Man könnte natürlich auch NUR die ÄNDERUNGEN zu den vorigen AGB erfassen und ausdrucken.
            Aber dann muß die Bank ja damit rechnen, daß die Empfänger die 1-2 Seiten auch tatsächlich lesen und ggf. ihre Konten auflösen.

            Ne, dann drucken wir lieber die gesamten AGB und hoffen, daß niemand auf die für (Endkunden) negativen Veränderungen stößt.

            Mir sind Unternehmen suspekt, die ihre Änderungen nicht hervorheben und zu verschleiern versuchen. Genauso Ladengeschäfte, die absichtlich keine Preise bei Produkten auszeichnen (rechtswidrig!).

      • Helldunkel sagt:

        @ GB: Aber so ist nun mal die jetzige gewollte Lage:
        Schreibst du einen Hinweis dem Hersteller über eine Lücke -> hast du eine Klage am Hals und wirst ggf. verklagt.
        Nutzt du die Lücke aus -> kannst du Geld erpressen ohne das dich jemand dabei erwischt (in der Regel).

        Erkennt dich jemand aus der Firma das du ev. öffentlich über Missstände berichtest -> Abmahnung, Kündigung, Gebrandmarkt.
        Bist du still und läufst brav mit -> bekommst du dein Gehalt + Zulagen + Boni und dein Familie kommt über die Runden.

        Alles was nicht per Zufall über einen versehentlichen Klick "gehackt" werden kann, ist ja hoch professionelles Hacking.

      • Fritz sagt:

        Ich hatte es in einem anderen Kommentar schon mal thematisiert:
        https://en.wikipedia.org/wiki/ANT_catalog
        15 Jahre alt, aber mit einem technischen Hintergrund kann man sich ungefähr ausmalen, wie solche Implants heute aussehen würden.

        Ich erlebe in meinem Umfeld jedenfalls immer wieder ungläubiges Stauen, wenn ich darauf hinweise, daß z.B. in einem normalen Lightning-Kabel ein Chip verbaut ist (werde ggf. sogar als Spinner betrachtet bis ich wirklich mal ein altes vor deren Augen aufschneide) und wie klein und billig das heute machbar ist.

        Disclaimer: Die Amis haben mal versucht, diesen Katalog aus dem Internet "wegzuzensieren" und auch vielen einfachen Bloggern Streß gemacht, deswegen kein Link zu Wikileaks o.ä.

    • Bernd Bachmann sagt:

      Es ist vor allem auch sinnlos. Kein Unternehmen, dessen Verantwortliche ihren Verstand halbwegs zusammen haben, wird einen auf diese Weise erhaltenen USB-Stick irgendwo einstecken.

      • Bernd B. sagt:

        Es ist zudem gefährlich, denn es normalisiert angreifbare/unsichere Verfahrensweisen ("Wenn unsere Bank schon 1 oder 2 USB-Sticks schickte wird der heute Erhaltene wohl auch von ihr sein!").

    • Bernd B. II sagt:

      Ist die Nachfrage ernstgemeint? Günther hat im Artikel ausreichend Belege kritischer Fallbeispiele dargelegt.

    • Dat Bundesferkel sagt:

      "Nach diesbezüglicher Recherche kommt unsereiner auf den Trichter, dass eher die Nutzung des Sticks ein Sicherheitsproblem sein könnte."

      Genau dieses. Traue niemals einem Stick aus einer fremden Quelle. Es reicht schon ein kleiner Extra-Chip um Dein System zu infiltrieren und mit einem Trojaner/Backgroundloader verseuchen. Sparkassen als quasi-staatliche Institutionen genießen da bei mir eh keinen guten Ruf. Insbesondere nicht, wenn ein Land auf seinen Staats-Trojaner beharrt.

      Du kannst mit USB-Geräten viel Schabernack treiben. Immerhin wird die "Autorun.inf" unter Windows nicht mehr automatisch abgenudelt. Dennoch bleibt das Risiko extrem bei Fremdprodukten.

  3. Exchadmin sagt:

    Herrlich, als nächstes kommen die AGB dann per E-Mail mit Word-Datei in der Anlage?

    • Singlethreaded sagt:

      Möglich. Diese AGBs sind dann aber speziell gesichert, damit nicht wieder so ein Fiasko wie mit den USB-Sticks passieren kann. Deshalb nach dem Öffnen unbedingt die VBA-Makros aktivieren, dann läuft das. ;-)

    • Fritz sagt:

      Wenn Du eine Reise buchst ist es genau so.
      Du kriegst meist:
      – ein bis zwei Seiten (je nach Verlauf) Bestätigung der gebuchten Leistungen
      – eine Seite Sicherungsschein für Pauschalreisen
      – 4-8 Seiten AGB des Veranstalters
      – eine Seite Versicherungsschein der Reiseversicherung
      – ca. 16 Seiten AGB des Reiseversicherers
      – ggf. noch Bahnfahrkarten zum Flughafen

      Wenn Du zustimmst geht alles außer dem ersten Punkt an Deine Mail-Adresse, allerdings als PDF und nicht Word.

      Wenn Du nicht zustimmst (das ist bei Rentnern oft der Fall), dann wird alles ausgedruckt (für die AGB gibt es vorbereitete Hefte) und im Reisebüro übergeben oder per Post geschickt.
      Habe ich als Zaungast in "meinem" Reisebüro mehrfach erlebt.

      Früher hat man sich den Punkt "AGB" sparen können, indem man dem Kunden den Veranstalter-Katalog in die Hand gedrückt hat (dort waren die vielen Seiten kleingedruckt mit enthalten) – seit es kaum noch Papierkataloge gibt muß man diesen Weg wählen um dem Kunden den Text wirksam zur Verfügung zu stellen.

      Man unterschreibt ja auch auf dem Reisevertrag, daß man die Bedingungen zur Kenntnis genommen hat.

      Nur so ist auch der Reiseveranstalter gegen typische Diskussionen mit dem Kunden (z.B. zu Stornokosten, zumutbaren Änderungen des Reiseverlaufs, Einreisebestimmungen…) abgesichert.

    • Alex sagt:

      nein als "AGB_Geschaeftskunden.exe.docx"

  4. R.S. sagt:

    Das war wohl nicht nur aus Sicht der Cybersecurity ein Fail, sondern auch aus Umwelt-und Kostensicht und auch aus Sicht des Postversands.
    Die Post empfiehlt, USB-Sticks etc. in einem gepolsterten Umschlag zu versenden, weil sonst der Brief/die Postkarte in den automatischen Sortieranlagen hängen bleiben kann oder den USB-Stick einfach von der Postkarte abreißt oder den Stick aus dem Briefumschlag herausreißt.
    Und dann die Kosten (mal grob durchgerechnet):
    So eine Postkarte Porto 0,70 €
    Hinzu kommen die Kosten für den Stick selbst.
    Selbst ein kleiner Stick ist nicht unter 1,- € im Einkauf zu bekommen.
    Und die Postkarte muß ja auch gedruckt werden.
    Nur Porto und Stick also mindestens 1,70 € zzgl. Postkarte und Bedruckung des Sticks.

    Ein Brief mit den 2 oder 3 beidseitig bedruckten Blättern AGB wäre erheblich billiger gewesen.
    3 Blätter kosten inkl. Papier und Toner je nach Drucker zusammen um die 5 Cent.
    Umschlag um die 1,3 Cent pro Stück, also kostet der Brief aufgerundet max. 7 Cent zzgl. Porto von 0,85 € = 0,92 €.
    Selbst wenn man den Strom für den Drucker mit einrechnet immer noch deutlich unter 1,- €.

    Falten und Eintüten produziert so gut wie keine Kosten, dafür gibt es schon seit Ewigkeiten Falt- und Kuvertiermaschinen.

    Da hat die Bank also massig sinnlos Geld verbrannt (mindestens einen kleinen 5-stelligen Betrag).

    Und umweltfreundlicher als Papier ist so ein Stick auch nicht.
    Der auf dem Bild ist offensichtlich aus Plastik, also Öl.

    Selten so eine sinnlose Aktion gesehen!

    • Fritz sagt:

      Wie man es macht ist es falsch.

      Auf Reddit gibt es in paar mehr Informationen und auch Bilder vom Flyer.
      Nach dortigen Angaben handelt es sich um 140 (!) A4-Seiten, die dem Kunden so durch die Sparkasse bekannt gemacht werden.
      Neben den AGBs gibt es z.B. auch eine neue Endkundenpreisliste.

      Meine Bank verschickt die noch auf Papier, aber auch da sind es ca 16 eng auf dünnes Pergamentpapier im Beipackzettelstil gedruckte A4-Seiten.

      Das ist dabei schon eine starke gesetzliche Vereinfachung, in den Jahren davor mußten Kunden dem noch aktiv (Unterschrift) zustimmen, in den Zeiten der Negativzinsen ein riesiger Aufwand für die Kundenbetreuer, die letztendlich jedem säumigen Kunden hinterherliefen und im Extremfall mit Kündigung des Kontos drohten, wenn nicht bis zum Stichtag eine Unterschrift vorlag.

      So eine "Dialogpost" für 15.000 Empfänger ist dagegen relativ preiswert und bei geeigneten Dienstleistern (auch die Post selbst bietet es an, siehe etwa komplett auslagerbar.

      Ein Flyer nur mit QR-Code ist vermutlich kein wirksamer Zugang (man müßte sich ja nicht nur auf die verlinkte Seite begeben, sondern auch namentlich einloggen), Audruck auf dem Kontoauszug scheidet bei der Textmenge sicher auch aus.

      Der USB-Stick enthält dagegen (genau wie der oben beschriebene Komplettausdruck im dicken DIN-C5-Brief) nachweislich den vollständigen Text – wenn der Kunde ihn ungelesen wegwirft ist er ihm trotzdem wirksam zugegangen und damit Vertragsbestandteil.

      • Bernd Bachmann sagt:

        Ich bin kein Jurist, aber ich kann mir nicht vorstellen, dass ein Richter, der nicht gedanklich im Mittelalter stehengeblieben ist, den letzten Punkt so sehen würde, wenn das Unternehmen aufzeigt, dass es schon seit Jahren eine Anweisung hat, die es strikt verbietet, extern erhaltene USB-Sticks in irgendwelche Firmen-Hardware einzustecken.

        • Fritz sagt:

          Dann sollen sich die Firmen die Bedingungen zufaxen lassen 😁

          Oben auf dem Flyer ist der Link zu lesen: http://www.sparkasse-bremen.de/bedingungen

          Ich denke daß dieses Mailing vorwiegend an Privatkunden gegangen ist (was es nicht besser macht). Firmenkunden haben meist eine irgendwie gearteten Online-Zugang, über den sie informiert werden können.

          Der obige Link dagegen führt auch zu Girokonten für Schüler und Auszubildende, Basis-/P-Konten und umfaßt Firmenkontenmodelle nur zum Teil.

      • Pau1 sagt:

        Dialog Post bedeutet auch, das nicht zustellbare Post entsorgt wird, oder?

        Wenn Du auf die Webseite von TLN gehst, wirst Du sehen, das die das komplett alles machen.
        Du suchst den Stick aus, schickt Logo und Text hin und die machen. Du musst nur noch bezahlen.
        Die Ware wird natürlich gleich in China konfektioniert. D h. das alle Adressen dahin gehen.
        (ich kann mir nicht vorstellen das die Postkarten hier in Deutschland gedruckt und mit Stick und Adresse beklebt werden.).
        Das auf dem Transport Sticks kaputt gehen ist egal.
        Dann schickt man halt einfach einen neuen, zum diese Sticks u.U. eine jämmerliche Qualität haben.

        • Fritz sagt:

          "ich kann mir nicht vorstellen das die Postkarten hier in Deutschland gedruckt und mit Stick und Adresse beklebt werden."
          Dann hast Du den Reddit-Thread schlecht gelesen – da hat sich sogar jemand gemeldet, der die USB-Sticks persönlich draufgeklebt hat. Einen Link zu einem entsprechenden Angebot der Post hatte ich oben gepostet. Ich gehe im Übrigen davon aus, daß die Sticks kuvertiert waren (auf dem Foto erkenne ich kein Anschriftenfeld) und der übliche Spruch "Nicht nachsenden, sondern mit neuer Anschrift an den Absender zurück!" enthalten war. Letztendlich wird auch diese "Dienstleistung" von den Kontoführungsgebühren der Kunden (kann man ab Seite 6 nachlesen 😉) bezahlt, warum sollte der Versand dann aus China kommen.

          • Pau1 sagt:

            Die Chips werden in China hergestellt.
            Irgendwie müssten die 15000 USB ja in das Schreibgerät gesteckt werden.
            Bei CDs war das kein Problem.
            Aber es gibt viele verschiedene USB Sticks.
            Da ist es sinnvoller diese ohne Gehäuse zu beschreiben und erst danach einzubauen.
            Auch gibt's den Fall, das jeder Stick einzeln Verpackt aus China komm. Er müsste dann hier ausgepackt werden, in den USB Schreiber rein etc.
            Ins gesamt ist das kein billiger Spaß.

            Solche Auflagen sind keine Seltenheit. Es ist ja auch auf Messen üblich, den Produkt Katalog auf USB mitzugeben. Bei 3000 Seiten ist USB sicher günstiger.

            Dein Link zu refit finde ich nicht.

      • topas sagt:

        Ich kann (aus technischer Sicht) eben nicht nachvollziehen, dass ein zugegangener USB-Stick ein wirksamerer Zugang als ein QR-Code (mit Link zu den AGB) sein soll. Für den USB-Stick benötige ich ein spezielles Gerät (AFAIR hat z. B. ein Surface erst über Dock oder Adapter einen USB-A-Anschluss, kann aber auch ohne Dock per Bluetooth-Tastatur/Maus einen vollwertigen Arbeitsplatz darstellen) bzw. im geschäftlichen Umfeld ein Gerät, bei dem der USB-Port freigegeben ist. Für einen Onlinezugang kann ich das Gerät nutzen, mit dem ich auch die E-Mail-Korrespondenz mit der Sparkasse abhalte). Somit ist die Wahrscheinlichkeit, dass ich das digitale Dokument lesen kann, beim QR-Code höher. Vielmehr kann ein Speichermedium, das über einen unsicheren Übertragungsweg (Postversand) versendet wird, eher korrumpiert werden (Austausch gegen Malware-verseuchte Klone), so dass es sogar unverantwortlich wäre, diesen Stick am Firmenrechner zu öffnen. Somit würde ich die so versendeten AGB eher als "nicht erfolgreich zugestellt" werten.

        • Bernd B. sagt:

          "Vielmehr kann ein Speichermedium, das über einen unsicheren Übertragungsweg (Postversand) versendet wird, eher korrumpiert werden (Austausch gegen Malware-verseuchte Klone)"

          Sicher?
          Ist es nicht viel einfacher und billiger, eine Postkarte zu ersetzen oder einen QR-Code zu überkleben (z.B. Link zu einer 'Sparkassen'-Seite mit drive-by-download)?

    • Bernd B. sagt:

      Falsche Grundannahme und darauf aufbauend natürlich die falschen Schlüsse.
      Alleine die AGB sollen laut Heise 140 Seiten umfassen. Das wird deutlich teurer, als 1,70€.

  5. Pau1 sagt:

    Banken und Sicherheit?
    Das in etwas vielleicht?
    Ein Bank ist Kunde bei T-Systems.
    T-Systems ist Teilnehmer an der Aktion "IT Security Made in Germany" aus ca. 2015.
    Merkmal: Der Mail-Verkehr zwischen den Teilnehmern der Aktion wird TLS Verschlüsselt.
    So weit OK. Kann man machen. Schöne Idee.
    Natürlich funktioniert das nicht mehr wenn man sein MX bei Microsoft in die Cloud legt, die natürlich nicht zu "IT Security made in Germany" gehören, sondern den Mailserver verdächtig nahe am Wasser stehen haben und nicht in Deutschland, sondern In Amsterdam oder Irland. Natürlich ohne DMARK Angaben und 7 Includes in den SPF mit vermutlich tausenden IPs. Aber nun, wenn man's versendet geschieht der Versand weiterhin über den T-Systems Server, der TLS macht.
    Wo ist das Problem?
    TLS bei emails ist doch nur "nice to have" und wir wissen ja das wenn die Server in Europa stehen, die DSVO gilt, auch wenn Microsoft kein europäisches Unternehmen ist(es gab das gerade eine Untersuchung).

    Ninja, irgendwer hat das mit dem TLS und der Bedeutung des Wortes "Transport" nicht so recht verstanden, und nie etwas von PGP und S/Mime gehört. War ja auch viel zu kompliziert, wenn man früher Fax hatte.

    Problem?
    Z.B. wird den Kunden für Änderungen an den Persönlichen Daten ein Formular als PDF-Anhang zugeschickt. Der Kunde wird aufgefordert, das PDF auszudrucken, auszufüllen, zu unterschreiben,mit dem Handy abzufotografieren oder einzuscannen und als Email-Anhang an die Service Adresse zu senden.
    Der Kunde fragt irriert nach. Antwort:
    Nein, eine Upload Möglichkeit über HTTPS haben man nicht. Aber man bietet ja TLS für E-Mails an. Daher könne man man vertrauliche Nachrichten einfach als eMail Anhang versenden…

    Das ist "IT Security in Germany" …
    Vertrauliche Daten als Klartext (auch ein jpg ist natürlich Klartext, heute.) über die die Microsoft Cloud….ohne DMARC und vermutlich tausende Host in der Microsoft Cloud, die die Domain als Absender benutzen durfen.

    Gehören Sparkasse und Volksbanken irgendwie zusammen?

    • Anonym sagt:

      Meine Bank wollte kürzlich meine Mails nicht akzeptieren, obwohl sie signiert waren UND ein signiertes PDF enthielten: der Email-Kanal sei dafür nicht geeignet (sprich: erlaubt).
      Leider gibt es kein Portal, und die Bank-App ermöglicht das Hochladen von Dokumenten nicht (habe dazu einen Verbesserungsvorschlag geschrieben).

      Also habe ich das PDF ausgedruckt und per Snail-Mail versandt. Ich war zwar sauer, aber eigentlich ist es nicht so ganz falsch gewesen, dass der Kundebetreuer nicht jeder Mail vertraut.
      Das nächste mal schicke ich einfach ein FAX, das ist immer noch ein erlaubter Kanal :D

  6. Sebastian sagt:

    Vielleicht konnte man die Sticks aus dem Budget für Werbegeschenke nehmen bzw. man hatte davon eh noch eine Tonne rumliegen.
    Sofern es noch weitere Optionen gibt zu den AGB's zu kommen finde ich die Aktion nicht so hochproblematisch, bestenfalls unglücklich. (Ich gehe davon aus die SP hat sichergestellt/geprüft das die Sticks sauber sind und die Dateien sind nicht docx/docm oder sowas.)

    • Pau1 sagt:

      Das ist doch nicht das Problem das Viren auf dem Stick sind, sondern das jemand das als Bad-usb ausnutzt und eine Tastatur darauf emuliert, die ganz schnell etwas auf dem Rechner ändert.
      Es gab den Fall, in dem ein Vertreter unbedingt etwas ausdrucken müsste. Er ging zur Chef Sekretärin und gab ihr den USB Stick mit dem Dokument.
      Verwickelte sie in ein Gespräch, da der Ausdrucj sehr lange dauert.
      Klar was passierte:
      Der Bad USB Stick hatte erstmal mit den Rechten der Sekretärin eine Malware installiert, due nächste Woche aktiv würde und hat eine Kopie sämtlicher Schreiben gemacht die er finden könnte…

      Die Datei umfasst nur 1,6MB.l und 140 Seiten.
      Ausgedruckt in DIN A 5 also 20 Blatt A5, was sicherlich als Massendruck Sache weniger als 1 Euro Porto kostet.
      Die Sticks kommen von TLN wie der Wäre Nummer unschwer zu entnehmen ist.
      Diese sinnlosen 15000 Sticks sind eine gewaltige Umweltsauerei verglichen zu 300000 Blatt Papier.

      • Sebastian sagt:

        Ich habe ja gesagt ich gehe davon aus die SP hat sichergestellt/geprüft das die Sticks sauber sind -UND- die Dateien sind nicht docx/docm oder sowas da es eine Hürde darstellt das ganze lesen/verarbeiten zu können.

        • Pau1 sagt:

          ich nuschle, sorry.
          Das Problem sind nicht die Dateien.
          Es ist sowieso nur eine einzige Datei mit 1,6 MB.
          Das Problem könnte sein, das die USB Stick Hardware bösartig ist (einige) und ein Angreifer das als Post von der Sparkasse tarnt.
          Böse Hardware findet man als "Bad USB". Dazu kommt, dass diese Sticks komplett in China konfektioniert wurden.
          Da greift keiner mehr zu.
          Die Teile kommen vorsortiert in Kartons hier an und gehen direkt in Auslieferungszentrum der Post. Ich verstehe nicht wieso nicht klar ist, das das Problem nicht die Datei auf dem Stick ist, sondern der Stick selbst und auch das "Prägen" der Kunden darauf, irgendwelche USB Sticks in ihren Rechner zu stecken.

          • Bernd B. sagt:

            mMn ist das Problem eher, dass man den Kunden daran gewöhnt, USB-Sticks von seiner Bank zu erhalten und er so beim 2. oder 3. Stick (der dann nicht mehr von der Bank kommt) kaum noch achtsam ist.

            • Pau1 sagt:

              Ja ACK.
              Das gibt's auch in Outlook.
              Da steht dann über jeder Email:
              "Diese E-Mail kommt von außerhalb "
              "Sie hatten bisher noch keinen Kontakt mit diesem Absender"
              Leute im Firstlevel Support haben diesen Text in fast jeder Email stehen. Auch ist natürlich die Signierung der E-Mail immer kaputt.
              Der Hintergrund ist mangelndes Denkvermögen.
              Die Idee ist, das man verhindern will, das jemand einen Fake Absender mit der eigenen Domain oder eine ähnlichen für einen Kollegen hält. Outlook fördert das, weil es keinen einfachen Weg gibt schon im Posteingang den return path anzuzeigen.
              Es ist halt das größte Risiko das der Gewohnheit.

    • Singlethreaded sagt:

      Wir reden hier von Geschäftskunden. Selbst ich als Privatkunde habe bei der Sparkasse ein digitales Postfach, welches ich über die Webseite abrufen kann. Dort landen alle Dokumente als PDF und gut ist. Das muss doch auch für Geschäftskunden zu realisieren sein. Ich habe gar keine Lust auf das Papier, welches ich auch nur scanne und dann als PDF ins DMS lege.

      • Fritz sagt:

        Das /kann/ und /soll/ man machen, /muß/ es aber nicht.

        Die Sparkasse dagegen muß alle, die sie mal als Kunden akzeptiert hat, diskriminierungsfrei abholen.
        Auch die alte Rentnerin, die noch nicht mal ein Handy hat. Auch den Obdachlosen, der die Post an die Notunterkunft oder seinen Betreuer schicken läßt.

        Ich nehme an, daß diese 15.000 nicht der gesamte Kundenstamm sind, sondern nur die, welche einer digitalen Kontaktaufnahme (und der damit verbundenen Verpflichtung, in ein solches Postfach regelmäßig hineinzuschauen) warum auch immer nicht zugestimmt haben.

    • Schnicke sagt:

      "Ich gehe davon aus die SP hat sichergestellt/geprüft das die Sticks sauber sind …"
      Deine Prämisse dürfte nicht erfüllt sein. Eine Bank, die so wenig Sicherheitsbewusstsein hat, dass sie USB-Sticks verschickt, wird kaum jeden einzelnen der 15000 Sticks überprüfen.
      Außerdem kann man die Dinger unterwegs manipulieren, kommt ja jeder dran.

      • Sebastian sagt:

        Ja auf dem Postweg kannst du alles manipulieren, logisch zu Ende gedacht darf man dann auch keine Briefe mehr verschicken und auch kein Notebook online bestellen etc. Auch die EC Karte darf nicht mehr mit der Post kommen. Zumindest in Haftungsfragen darf ich davon ausgehen das die Bank das geprüft hat. Ansonsten gilt für sämtliche Hardware – trau schau wem – immer. Auf der Idiotenskala sehe ich diese Nummer jedenfalls nicht soweit oben, aber kann man natürlich auch anders sehen.

  7. Timo sagt:

    Was wäre denn aus Eurer Sicht eine kostengünstige, umweltfreundliche, im Idealfall digitale und vor allem sichere Alternative, um 15.000 Kunden zu erreichen?

    • T Sommer sagt:

      Alle OnlineBanking Kunden haben ein e-Postfach.
      Alle anderen können z.B. per eMail oder Postbrief angeschrieben werden und auf die neuen AGB online als PDF download hingewiesen werden oder sich einen gedruckten Satz in der Filiale abholen.
      So war das eigentlich früher schon.
      Aber so einen USB stick der Bank deines Vertrauens hat ja schließlich nicht jeder und die sind vielleich begehrt. ;-)

      • Fritz sagt:

        Alle?

        Alle der Generation Z vielleicht, aber keineswegs aus der Generation, die dieses Land mit aufgebaut haben.

        Ich habe selbst mehrere in der Verwandtschaft (und deren Freundeskreis) für die nur der Weg "anschreiben und in der Filiale abholen" bliebe – wobei Abholen auch schon ein Problem ist. Früher fuhr noch ein Bus der Sparkasse durch die Dörfer, bei dem man die wichtigsten Geldgeschäfte erledigen konnte – heute müssen sie jemanden anbetteln der sie in die nächste Stadt (Filialen werden auch weniger und deren Öffnungszeiten kürzer) fährt.

        Dabei sind es aus Sicht der Sparkassen eigentlich gute Kunden (hohe Guthaben, wenig Zinserwartung, regelmäßiger Renteneingang) , die zudem auf ihre Konten dringend angewiesen sind (einlösbare Rentenschecks gibt es schon seit Ewigkeiten nicht mehr und auch kein Zahnarzt oder Optiker nimmt noch gerne hohe Summen in bar an).

        • Schnicke sagt:

          Ich verstehe diese Argumentation á la "aber das geht doch nicht anders" oder "die anderen machen das doch auch so" oder "das ist so umständlich" immer nicht.
          Die Leute verseuchen sich unter Umständen den eigenen (und u.U. noch andere) Rechner. Egal, ob es einen guten ÖPNV gibt oder die Sachlage sonstwie umständlich ist. Das ändert doch die Gefahr nicht! Wie kann man so argumentieren?

          • Fritz sagt:

            Die Aktion mit den USB-Sticks ist unglücklich – keine Frage. Aber der alleinige Vorschlag "dann mach es online" ist es auch.

            Wie schon geschrieben habe ich Verwandte bis hoch in die 80er, die zwar ihr alltägliches Leben noch sehr gut meistern können, aber an die Nutzung von Computern nie "rangekommen" sind und es nun auch nicht mehr werden.

            Denen kann ich z.B. mit Urlaubsfotos nur eine Freude machen, wenn ich sie ihnen ausdrucke oder ausbelichte – mal kurz das Smartphone vor die Nase halten und herumwischen hilft ihnen nichts. Auch nicht ein "Nun stell Dich nicht so an!". Da schreibe ich gerne noch Postkarten oder rufe das Festnetztelefon im Flur an.

            Daß diese Menschen vermutlich nie einen eigenen TikTok-Kanal eröffnen werden ist nicht schlimm, daß sie aber zunehmend von so essentiellen Dingen wie Banken abgeschnitten werden ist dramatisch.

            Es ist wirklich wichtig, bei allem Drang zur Digitalisierung diesen Teil der Bevölkerung nicht auszugrenzen, sondern ihnen eine Rückfallebene zu geben. Ich denke, das hat die Sparkasse versucht – gut gemeint, aber sehr, sehr schlecht gemacht.

    • Bernd Bachmann sagt:

      Anzeige der geänderten AGB und ggf. Einholen des Einverständnisses beim nächsten Einloggen in das Banken-Portal. Macht doch eigentlich so ziemlich jede Bank so.

    • R.S. sagt:

      Die Lösung steht doch absurderweise noch auf der Postkarte drauf:
      Die URL, über die man sich die Sachen auch Online anschauen und herunterladen kann.
      Und das hätte IMHO auch völlig ausgereicht.
      Den Stick hätte man weglassen können.
      AGB und Preisverzeichnis müssen auch von Nicht-Kunden zugänglich sein, damit man sich vor Kontoeröffnung darüber informieren kann. Daher braucht es nicht einmal einen Onlinezugang bei der Bank.
      Und mit der URL erreicht man auch Leute, die gar keinen Computer mehr haben, sondern nur noch ein Smartphone.
      Versuch mal, den USB-Stick an ein Smartphone anzustöpseln.

    • pau1 sagt:

      Ausdrucken. Es ist kein Problem 140 Seiten ausdrucken. Das sind 16 Blatt Papier, wenn die Kunden das noch ohne Lupe lesen können sollen.
      Und 300000 Seiten Papier sind weit ökologischer als 15000 USB Sticks für den Mülleimer aus China zu holen.

      • Bernd B. sagt:

        AGB sind doch iaR sind schon eng und klein gedruckt, wenn der Kunde kein Microfiche-Lesegerät hat wird es also nichts mit 2 oder gar 4 Seiten auf 1 Blattseite.

        • pau1 sagt:

          Du kannst das Sammel-PDF herunterladen.
          zumindest von den ersten 50 Seiten (Preise) bekommt man ohne Augenkrebs 4 Seiten auf eine A4-Seite.

          Ich habe da mal Kataloge von Elektronischen Bauteilen verändern gesehen. 3 Bände zu je 2500 Seiten. Da wäre eine Ausgabe als PDF und auf USB Stick oder gar App sehr wünschenswert.
          Inzwischen gibt's das nur noch online.
          Witzigerweise bietet Reichelt immer noch einen Katalog an. Der ist schön zum Schmökern. Aber endgültig gesucht wird online.
          Irgendwie scheint die Bänksters-Lobby versagt zu haben und hat nicht papierlose AGB durchsetzen können.

  8. Luzifer sagt:

    Cybersecurity ist da das eine Problem, aber selbst das was es bewirken sollte wird ja total verfehlt. Nen Blatt Papier zu verschicken ist umweltbewusster als so nen USB Stick! Sowohl in der Fertigung im Versand als auch in der Entsorgung, von den Rohstoffen wollen wir gar nicht erst Anfangen.

    Typisch Firmen eben: Auf Umwelt wird geschissen Hauptsache man kann mit "Greenwashing" die Kunden täuschen!

    • Anonym sagt:

      Korrekt. Und man bekommt leider den Eindruck, dass viele nicht mehr in der Lage sind, diese Absurdität zu erkennen bzw. auch nur ansatzweise zu überdenken.

  9. michael sagt:

    Was eine Aufregung um nichts. DVDs und CDs wie jeder download sind aus "Sicht der CyberCyberexperten" problematisch. Zudem kann man den Stick später weiter verwenden. Und wer keinen USB A Port "mehr hat" – die 0,1% der User kann man auch ignorieren.

    • Mark Heitbrink sagt:

      jeder von den 0,1 hat einen usb c Adapter für usb a, hdmi, nic und noch mal usb a … jedenfalls, wenn ich in meinem Rucksack schaue :-)

    • Luzifer sagt:

      du steckst als USB Sticks die dir zugeschickt werden an deine PC… da das von der "Sparkasse" kommt wohl auch Onlinebanking… Geil hast du dir auch Opfer auf die Stirn und "kick me" auf den Hinterkopf tätowiert?

    • Pau1 sagt:

      Es gibt für unverschämte 4 Euro Adapter USB-A auf USB-C.
      Natürlich kann man den USB-Stick auch einfach mit dem Smartphone lesen.
      Natürlich besteht auch da das Problem, das der USB Stick eine Tastatur emulieren kann.
      Nur wird man bei Android gefragt, ob man das möchte.

      BTW:
      Wenn man den QR-Code scannt, landet man nicht auf einer Auswahl-Seite, wie man erwarten würde, sondern der Download startet sofort.

      • Anonym sagt:

        Wenn man QR Codes scannt, nutzt man am besten eine Software/App die den Inhalt des QR Codes wie z.B. Link oder VCF oä. zunächst im Plaintext anzeigt, bevor irgendwas automatisch passiert. Alles andere wäre grob fahrlässig. Wenn das beim zum Scan benutzten Gerät nicht möglich ist, sollte man auf QR Codes ganz verzichten.

      • Bernd B. II sagt:

        "Natürlich kann man den USB-Stick auch einfach mit dem Smartphone lesen."

        Es sei denn, es handelt sich um einen Stick im NTFS-Format und man ist Besitzer eines Pixel-Handys. Der bitterarme Google-Konzern muss nämlich Lizenzkosten sparen.

    • Dat Bundesferkel sagt:

      Bitte bleibe mit Deinen internetfähigen Geräten dem Internet fern. Danke.

      DVDs und CDs können natürlich Schadsoftware enthalten. Aber hier muß man schon ein System nutzen, welches Autostart AKTIV betreibt (und keinen weiteren Schutzmechanismus hat). Oder den Wahnsinn eine Anwendung auszuführen, ohne sich zu vergewissern, daß die Datei sicher ist.

      Bei einem USB-Produkt passiert mehr. Das ist nicht nur ein NAND-Speicher mit einem DVD/CD Dateisystem, sondern hat auch nicht (vom Nutzer) zugreifbare Bereiche, auch die Aushandlung bei der Verbindung ist eine Andere und kann manipuliert sein.
      Dann gibt es noch die Option einen weiteren Chip zu implantieren, der transparent im Hintergrund tätig wird als weiteres Gerät. USB erlaubt immerhin den Anschluß weit über 100 Geräte… ;-)

      Also bitte… entweder langsam mal erwachsen und verantwortungsbewußt werden, oder bitte nur noch in Sandboxen herumtreiben. Danke!

  10. R.S. sagt:

    Die Sparkasse hat übrigens das Vorgehen gerechtfertigt:

    Zitat:
    *****
    "Wir haben uns diese Vorgehensweise nicht ausgesucht", so die Sprecherin weiter. Sie sei seit der BGH-Entscheidung in der gesamten Kreditwirtschaft Usus. Mit dem USB-Stick wurde auch ein mehrseitiges, erklärendes Anschreiben mit einem Zustimmungsformular versandt.

    "Damit eine wirksame Zustimmung […] des Kunden/der Kundin vorliegt, müssen wir das gesamte Angebot übermitteln, also in diesem Fall rund 130 Seiten auf dem USB-Stick. Und wir müssen es nachweisen. Anderenfalls hat die Sparkasse Bremen keine rechtliche Grundlage, die neuen Bedingungen bei der weiteren Geschäftsverbindung zugrunde zu legen und abzurechnen", erklärt die Sprecherin weiter.

    "Richtig gute Alternativen" seien leider nicht in Sicht: Man hätte jedem Kunden die rund 130 Seiten ausdrucken und per Post verschicken können – verbunden mit hohen Porto- und Lieferkosten. "Der USB-Stick ist sehr klein und leicht und konnte mit der normalen Geschäftspost versendet werden", so die Sprecherin.
    ******

    Evtl. wurden damit nur Kunden adressiert, die kein Onlinekonto bei der Bank haben, also eine Zustellung ins Postfach nicht möglich ist.

    Trotzdem ist das ein sicherheitstechnischer GAU.
    Und das das seit dem BGH-Urteil in der gesamten Kreditwirtschaft Usus ist, bezweifle ich. Ich habe von meiner Bank noch nie einen USB-Stick zugesendet bekommen.

    • Bernd B. II sagt:

      Dass die Begründung der Sparkasse eine dumme ist erkennt jeder Kunde anderer Banken. Denn kein Kunde anderer Banken hat die angeblich vorgeschriebenen USB-Sticks seiner eigenen Bank erhalten.

  11. Anonymous sagt:

    Deutschland ≠ Digitalität
    War es nie, ist es nicht und wird es nie sein!

    • Pau1 sagt:

      siehe ganz oben:
      "IT Security made in Germany "

    • Dat Bundesferkel sagt:

      Die Chance hatten wir, die Startbedingungen waren grandios. Zu der Zeit, wo es los ging im WehWehWeh (bis auf den überteuerten I-Net-Zugang, dank AOL ja Geschichte) und wir noch eigene Betriebe und Unternehmen hatten, die dann für 'n Appel und 'n Ei verschachert wurden.

      Manchmal wünscht man sich schon Verstaatlichung zurück. Aber bei der gegenwärtigen Regierung wäre das auch ein Todesurteil für Germanistan.

  12. Pau1 sagt:

    es gibt doch die Legende, dass ein Sicherheits Forscher mal präparierte USB Sticks auf dem Firmen Parkplatz hat fallen lassen. Es sollen wohl einige den Stick in den Firmen-PC gesteckt haben.

    Übrigens sollte man auch Gärtner an IT security Schulungen Teil nehmen lassen.
    Es begab sich zu einer Zeit als Wünschen geholfen hatte, ein Gärtner eine Kiste in einem ihm neue Beet gefunden hatte. Das Kabel lief Richtung Haus.
    Es stellte sich heraus, das die Kiste ein WLAN Access Point war und das Kabel in die Netzwerk Verteilung lief. Monate vorher ist dieses Beet angelegt worden.
    Des weiteren stellte sich heraus, das am Wochenende immer wieder ein Wagen in der Nähe parkte.
    Klar, das das ein Angriff war. Air Gap mal anders…

  13. Pau1 sagt:

    siehe ganz oben:
    "IT Security made in Germany "

    • Dat Bundesferkel sagt:

      IT Security
      Software

      Irgendwie ist alles zum davonlaufen, wenn "made in germany" drauf steht. Selbst Ackerbau (Monsanto Gift) und Viehzucht (Antibiotika und viel aufgespritztes Wasser, weil dann fettarm und billig) kann man zwischenzeitlich vergessen.

      Aber im dampfplaudern, da sind wir einsame weltspitze! Dampflauder-Weltmeister und Fingerzeig-Weltmeister, Gender-Weltmeister und Woke-Weltmeister – knapp hinter den USA.

  14. Ralf Lindemann sagt:

    Danke für diesen Bericht aus der Welt des realen Irrsinns. Auf so eine Idee muss man erst mal kommen. Wird für Postkarten mit aufgeklebten USB-Sticks eigentlich ein Extra-Porto fällig – so eine Art Digitalisierungszuschlag für Daten in der Postkarten-Cloud?

  15. Hilti sagt:

    Kuchen.
    Falls sich noch jemand an diese Werbung der Sparkassen erinnert…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.