{"id":267079,"date":"2022-06-12T02:12:14","date_gmt":"2022-06-12T00:12:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267079"},"modified":"2023-02-13T03:44:13","modified_gmt":"2023-02-13T02:44:13","slug":"2-nachlese-zum-gehrteten-sparkassen-browser-s-protect","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/12\/2-nachlese-zum-gehrteten-sparkassen-browser-s-protect\/","title":{"rendered":"2. Nachlese zum geh&auml;rteten Sparkassen-Browser S-Protect"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>Hier im Blog hatte ich ja bereits zwei Mal \u00fcber <em>S-Protect <\/em>berichtet. Das ist der \"geh\u00e4rteten\" Browser, den der Deutsche Sparkassen- und Giroverband Online-Banking-Kunden bereitstellen will, um diese bei Bankgesch\u00e4ften vor Risiken auf Windows PCs oder Macs besser sch\u00fctzen soll. Eigentlich sollte das Thema mit den Beitr\u00e4gen abgeschlossen sein. Aber die Wirklichkeit hat mich \u00fcberholt. In einer zweiten Nachlese m\u00f6chte ich auf weitere Gesichtspunkte zur Frage \"wie sicher ist der geh\u00e4rtete Browser wirklich\" eingehen.<\/p>\n<p><!--more--><\/p>\n<h2>S-Protect, was ist das?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/81f15a33761a42c3a3b0040b4d256b77\" alt=\"\" width=\"1\" height=\"1\" \/><em>S-Protect <\/em>ist ein \"geh\u00e4rteter\" Browser, den der Deutsche Sparkassen- und Giroverband seinen Sparkassenkunden bereitstellt. Ziel ist es, mit dem \"geh\u00e4rteten\" Browser <em>S-Protect <\/em>Online-Banking-Kunden der Sparkassen vor den Risiken bei Bankgesch\u00e4ften auf Windows PCs oder Macs besser zu sch\u00fctzen.<\/p>\n<p><a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\"><img decoding=\"async\" title=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" src=\"https:\/\/i.imgur.com\/xWvjOb9.png\" alt=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" \/><\/a><br \/>\nGeh\u00e4rteter Online-Banking-Browser S-Protect, <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a><\/p>\n<p>Die <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a> bewirbt den Browser S-Protect, der im Moment als Pilot-Projekt angeboten wird, auf ihrer Webseite als sichere L\u00f6sung zum Online-Banking auf dem PC mit folgenden Aussagen.<\/p>\n<blockquote><p>Unser S-Protect ist ein sogenannter geh\u00e4rteter Banking-Browser. Sie k\u00f6nnen ihn sich am besten als einen zus\u00e4tzlichen Schutzschirm f\u00fcrs Online-Banking vorstellen. S-Protect verhindert, dass Trojaner und andere Schadprogramme, die sich m\u00f6glicherweise auf Ihrem Computer versteckt haben, das Online-Banking ausspionieren oder manipulieren k\u00f6nnen. Die Einrichtung und Benutzung von S-Protect ist kinderleicht und verschafft Ihnen einen gro\u00dfen Sicherheitsvorteil bei allen Finanzgesch\u00e4ften.<\/p><\/blockquote>\n<p>Der Browser steht dabei sowohl f\u00fcr Windows als auch f\u00fcr macOS kostenlos f\u00fcr Kunden der Sparkasse Niederrhein auf <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">deren Webseite<\/a> bereit. Die Sparkasse schreibt zu den Vorteilen von S-Protect:<\/p>\n<ul>\n<li>Schutz vor Datendiebstahl, Phishing-Attacken, gef\u00e4lschten Websites<\/li>\n<li>Kinderleichte Handhabung, keine Installation oder Konfiguration<\/li>\n<li>Funktion zur automatischen Anmeldung (Auto-Login)<\/li>\n<li>Keine Beeinflussung anderer Sicherheitsverfahren<\/li>\n<\/ul>\n<p>So soll beispielsweise verhindert werden, dass der Kunde auf einen Link in einer Phishing-Mail hereinf\u00e4llt und auf einer Phishing-Seite seine Zugangsdaten f\u00fcr ein Online-Bankkonto eingibt. Der Browser l\u00e4sst beispielsweise nur URLs von Banken zu, blockiert aber die URLs von Phishing-Seiten.<\/p>\n<h2>Der S-Protect-Browser im 1.+2. Test<\/h2>\n<p>Ich bin erstmals \u00fcber den am 2. Mai 2022 bei heise erschienenen Artikel <a href=\"https:\/\/www.heise.de\/news\/Phishing-Schutz-mit-gehaertetem-Sparkassen-Browser-7071148.html\" target=\"_blank\" rel=\"noopener\">Sichereres Online-Banking mit geh\u00e4rtetem Browser der Sparkassen<\/a> auf dieses Konzept aufmerksam geworden. Im heise-Beitrag waren bereits leichtet Zweifel herauszulesen, ob sich die Sparkasse am Niederrhein sowie der Sparkassen und Giroverband mit den oben zitierten Aussagen nicht arg weit aus dem Fenster gelehnt haben.<\/p>\n<p>Es entstand die Idee, sich n\u00e4her mit S-Protect zu befassen und die obigen Versprechen der Sparkasse am Niederrhein einem Realit\u00e4ts-Check zu unterziehen. Kurz vor dem Start des Projekts erreichte mich eine E-Mail des Sicherheitsexperten Stefan Kanthak, der die Sparkasse am Niederrhein auf die Unzul\u00e4nglichkeiten des Konzepts hinwies, und mich auf CC gesetzt hatte.<\/p>\n<p>Bei einem kurzen Test konnte ich den Hinweis von Stefan Kanthak best\u00e4tigen, dass der Download <em>s-protect.exe <\/em>anf\u00e4llig f\u00fcr DLL-Hijacking-Schwachstellen ist. Ich hatte das Ganze im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/\">Geh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a> dokumentiert und dann die Angelegenheit wieder ad acta gelegt. Den ein f\u00fcr DLL-Hijacking anf\u00e4lliges Konzept braucht nicht weiter sicherheitstechnisch analysiert zu werden.<\/p>\n<p>Allerdings entwickelte die Geschichte etwas Eigendynamik, da mein Beitrag erstmals das Thema \"wie sicher ist der geh\u00e4rtete Browser S-Protect\" angesprochen hatte. Durch Leserkommentare wurde ich auf den Entwickler, die Firma <a href=\"https:\/\/www.coronic.de\/protect\/\" target=\"_blank\" rel=\"nofollow noopener\">Cononic GmbH<\/a>, aufmerksam und hatte zum 17. Mai 2022 ein Telefonat mit den Entwicklern, in dessen Nachgang mir diverse Informationen bereitgestellt wurden.<\/p>\n<p><img decoding=\"async\" title=\"Vorteile S-Protect (Coronic)\" src=\"https:\/\/i.imgur.com\/zTVZ9N8.png\" alt=\"Vorteile S-Protect (Coronic)\" \/><br \/>\nVorteile S-Protect (Coronic)<\/p>\n<p>Zudem konnte ich mir auf der S-Protect-Produktseite des Entwicklers Coronic weitere Details wie die obigen Aussagen ansehen. Von den Aussagen her sind die Entwickler von ihrem Produkt \u00fcberzeugt, haben aber meinen Blog-Beitrag zum Anlass genommen, die berichtete DLL-SearchPathHijacking-Schwachstelle im Starter S-Protect zu beseitigen. Inzwischen steht die aktualisierte Version des Produkts auf der Sparkassenseite am Niederrhein zum Download bereit.<\/p>\n<p>Ich hatte diese Versionen einer kurzen \u00dcberpr\u00fcfung auf DLL-Hijacking-Schwachstellen im Starter S-Protect unterzogen und das Ganze mit weiteren Details und Erl\u00e4uterungen der Entwickler im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/22\/nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse\/#comment-126910\">Nachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a> zusammen getragen. Zwischenfazit: Die DLL-Hijacking-Schwachstelle im Starter schien beseitigt, und die Entwickler hatten einige nette Ideen im geh\u00e4rteten Browser implementiert.<\/p>\n<h2>Noch eine Nachbetrachtung<\/h2>\n<p>Was aber nach obigem Artikel blieb, war das Gef\u00fchl, dass der geh\u00e4rtete Browser S-Protect nicht das halten kann, was die Sparkasse am Niederrhein auf ihrer Webseite verspricht. Denn die Aussage ist ja, dass der Browser selbst auf einem System, welches mit Malware (Trojaner) infiziert ist, noch sch\u00fctzt. Daher ist es Zeit, f\u00fcr eine weitere Nachbetrachtung, in deren Rahmen ich weitere Informationen zusammenfasse.<\/p>\n<h3>DLL-SearchPathHijacking weiter m\u00f6glich<\/h3>\n<p>In meinem, zugegebenerma\u00dfen kurzen, Test sah es so aus, als ob die DLL-Hijacking-Schwachstelle im Starter beseitigt ist. Das trifft aber nur auf mein Testszenario im gew\u00e4hlten Testbett zu. Von Stefan Kanthak war ich \u00fcber einen E-Mail-Austausch mit der Sparkasse am Niederrhein informiert, der darauf hinwies, dass auch das nachgebesserte Konzept die alten Schwachstellen aufweise. Er kann diese Schwachstellen weiterhin per einfachem Batch-Programm beim S-Protect-Browser reproduzierbar ausnutzen. Ich kenne grob den Ansatz, kann aber die Details nicht offen legen, da Vertraulichkeit vereinbart ist.<\/p>\n<blockquote><p>Auf die grunds\u00e4tzliche Problematik, dass eine portable Anwendung durch Malware manipuliert werden kann, und so das gesamte Konzept von den Aussagen \"sch\u00fctzt auch auf einem infizierten System\" hinterfragt werden sollte, hatte ich ja bereits im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/22\/nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse\/#comment-126910\">Nachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a> hingewiesen. Zumindest blieben bei mir, auch vor den Erkenntnissen aus den Mail von Stefan Kanthak, \"ein ungutes Gef\u00fchl\" zur\u00fcck.<\/p><\/blockquote>\n<h3>Keylogger und Screenshots<\/h3>\n<p>Die Entwickler des S-Protect-Browsers richten diesen ja \u00fcber den Starter neu im Benutzerprofil des Windows-Kontos ein und stellen auch sicher, dass immer die neueste Version des Browsers vorliegt. Zudem enth\u00e4lt das Konzept Schutzmechanismen, um die Integrit\u00e4t der Browserdateien zu sch\u00fctzen. Weiterhin haben die Entwickler Ma\u00dfnahmen zum Schutz vor Screenshots des Browserfensters ergriffen und lassen auch nur URLs von Sparkassen-Organisationen zum Aufruf zu. Damit sollten Phishing-Angriffe und das Abflie\u00dfen von Zugangsdaten durch Trojaner verhindert werden.<\/p>\n<p>Aus Gespr\u00e4chen mit den Entwicklern bei Coronic war mir bekannt, dass es auch einen Kontakt zwischen einem Redakteur bei heise gab. Inzwischen gibt es von heise den Artikel <a href=\"https:\/\/www.heise.de\/news\/c-t-entdeckt-Sicherheitsmaengel-in-Banking-Software-der-Sparkasse-7126688.html\" target=\"_blank\" rel=\"noopener\">S-Protect: c't entdeckt Sicherheitsm\u00e4ngel in Banking-Software der Sparkasse<\/a>, der auf weitere Probleme des gesamten Ansatzes hinweist.<\/p>\n<ul>\n<li>S-Protect baut zwar einige H\u00fcrden auf, um Screenshots zu verhindern. Aber eine Remote-Session mit AnyDesk erm\u00f6glichte den heise-Testern den Inhalt des Browsers per Zwischenablage oder als PDF-Export zu lesen.<\/li>\n<li>Eine verwendete Bildschirmtastatur konnte ungesch\u00fctzt per AnyDesk \u00fcbertragen werden, so dass die Eingabe einer PIN nachvollziehbar war.<\/li>\n<li>Wird eine am Rechner angeschlossene Tastatur verwendet, k\u00f6nnen deren Eingaben von einem Keylogger mit protokolliert werden. Der S-Protect-Browser versucht zwar solche Keylogger in die Irre zu f\u00fchren, indem Pseudoeingaben gesendet werden. heise gelang es aber mit einfachen Ma\u00dfnahmen, die Benutzereingaben wirksam zu filtern.<\/li>\n<li>Schlie\u00dflich gelang es den heise-Testern die von S-Protect verwendete <em>SetWindowDisplayAffinity()<\/em> Funktion per Script auszutricksen und so beliebige Screenshots anzufertigen.<\/li>\n<\/ul>\n<p>Geht man den Artikel von heise durch, fallen eine Reihe an Schwachstellen auf. So verwendet S-Protect zwar signierte Dateien, die beim ersten Start in einem Ordner im Benutzerprofil angelegt werden. heise war aber in der Lage, eine dieser Dateien auszutauschen und konnte laut Artikel feststellen, dass diese unsignierte Datei mit geladen wurde. Damit kann man das Konzept des \"geh\u00e4rteten\" Browsers in meinen Augen schlicht ad-acta legen.<\/p>\n<h3>Zugangsdaten im Klartext<\/h3>\n<p>Die Coronic-Entwickler verwenden die Web-Rendering-Engine von QT5 \u2013 die wohl auf der Blink-Rendering Engine von Chromium basiert, wenn ich nicht ganz falsch liege. Nun habe ich gerade den Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/12\/chrome-speichert-passwrter-im-speicher-im-klartext\/\">Chrome speichert Passw\u00f6rter im Speicher im Klartext<\/a> hier im Blog ver\u00f6ffentlicht. Das brachte mich beim Schreiben des Artikels \u00fcber S-Protect auf die Idee, mal einen kurzen Test diesbez\u00fcglich zu fahren.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/yBQQzvv.png\" \/><\/p>\n<p>Ich war bei einem kurzen Test in der Lage, die von mir eingegebenen Anmeldedaten f\u00fcr Online-Konten im Klartext aus dem Speicher auszulesen. Diese werden mit der zugeh\u00f6rigen URL der Bank praktisch frei Haus geliefert. Genau diese Feststellung haben die Redakteure von heise auch gemacht und im oben verlinkten Artikel best\u00e4tigt.<\/p>\n<blockquote><p><strong>Erg\u00e4nzung:<\/strong> Der Artikel von heise ist ja weiter oben zum Nachlesen verlinkt (so dass ich mir eine Langfassung an Zitaten im Blog-Beitrag erspare). Der Vollst\u00e4ndigkeit halber weise ich an dieser Stelle noch auf die \"<a href=\"https:\/\/www.coronic.de\/gegendarstellung\/\" target=\"_blank\" rel=\"noopener\">Gegendarstellung von Coronic<\/a>\" zum heise-Beitrag hin. Dort nimmt der Entwickler zu einzelnen Punkten aus dem heise-Beitrag Stellung, da bestimmte Punkte inzwischen per Update korrigiert sein sollen. Hier m\u00f6ge jeder Leser selbst die beiden Artikel gegenander spiegeln und ggf. selbst nachpr\u00fcfen.<\/p>\n<p>Was mich am Gesamtbild nervt: Es wird\u00a0 ein \"geh\u00e4rteter\" Browser angeboten, ist ja eigentlich top. Dann wird was von Dritten getestet und gefunden &#8211; es wird nachgebessert &#8211; es wird wieder getestet und es wird wieder was gefunden. Und dann geht die Diskussion los, was ist Schwachstelle, was ist relevant und was nicht. Seit Anfang Mai, als mein erster Beitrag erschien, bewegen wir uns in dieser Schleife.<\/p>\n<p>Ich kann verstehen, dass der Entwickler nicht sonderlich gl\u00fccklich \u00fcber die Entwicklung ist. Aber von einem geh\u00e4rteten Browser f\u00fcr Online-Banking erwarte ich eigentlich, dass der vom Start an sicher ist und h\u00e4lt, was die jeweilige Sparkasse verspricht. Wenn ich bei heise dann lese \"Der Hersteller der Software hat uns am heutigen Tage per Anwaltsschreiben darum gebeten, darzustellen, welche von der c't an den Hersteller gemeldeten Sicherheitsl\u00fccken der Software S-Protect zwischenzeitlich mit dem Update vom 31. Mai 2022 geschlossen werden konnten und welche nach unserer Recherche weiter bestehen.\" &#8211; ist das Kind meiner Meinung nach b\u00f6se in den Brunnen gefallen.<\/p><\/blockquote>\n<h2>Tests abgebrochen<\/h2>\n<p>An dieser Stelle habe ich weitere Tests abgebrochen, da diese aus meiner Sicht keinen Sinn mehr machen (ich bin ja nicht als Sicherheits-Auditor oder Pentester, sondern als Blogger, der bestimmte Sachverhalte aufgreift und informiert, t\u00e4tig). F\u00fcr meine Belange werde ich S-Protect nicht als L\u00f6sung f\u00fcr Online-Banking einsetzen, sondern versuche sicherzustellen, dass die f\u00fcr diese Zwecke verwendete Maschine sauber ist.<\/p>\n<h2>Versuch einer Einordnung<\/h2>\n<p>Abschlie\u00dfend noch der Versuch, einige Sachverhalte einzuordnen. Es gab Telefonate mit dem Entwickler und ich bin als cc auf diversen E-Mails zwischen Herrn Kanthak und Sparkassen gelistet. Die Informationen, die ich auf diesem Wege erhalten habe, laufen f\u00fcr mich aber \"unter drei\", so dass ich keine Details offen lege.<\/p>\n<p>Kann der S-Protect den Anspruch erf\u00fcllen?<\/p>\n<p>Die springende Frage ist, ob der S-Protect-Browser die Versprechen erf\u00fcllen kann, die ich Eingangs von der Sparkasse am Niederrhein zitiert habe. Also auch ein sicheres Online Banking gew\u00e4hrleisten, selbst, wenn der Rechner selbst kompromittiert ist. Die Sparkassen und der Entwickler meinen Ja, und argumentieren sowohl mit den technische Ma\u00dfnahmen, die ergriffen wurden, als auch damit, dass bisher kein Phishing-\/Schadensfall bekannt geworden sei.<\/p>\n<p>Ich meine, der S-Protect kann den Anspruch, ein sicheres Online-Banking auf kompromittierten Rechnern zu gew\u00e4hrleisten, nicht erf\u00fcllen. Online-Banking ist nur so sicher, wie die Plattform, die dazu verwendet wird. Selbst wenn man akzeptiert, dass es bisher keinen Fall gab, wo ein Kunde zu Schaden kam, sollte man sich folgendes vor Augen f\u00fchren: Der S-Protect wurde entwickelt, um \"unbedarfte\" Kunden beim Online-Banking zu sch\u00fctzen. F\u00fcr die Aussage, dass der geh\u00e4rtete Browser auch auf kompromittierten Systemen sch\u00fctzt und sicher ist, w\u00e4re ein formaler Beweis zu erbringen. Das erscheint mir pers\u00f6nlich unm\u00f6glich. Eine Empfehlung zum Einsatz bedeutet ja: Auch in Zukunft funktioniert das Konzept, egal was passiert und ob jemand nochmals drauf schaut. Das halte ich nicht f\u00fcr realistisch.<\/p>\n<p>Zudem muss ich gestehen, dass ein eventuell vorhandener Vertrauensvorschuss bei mir nicht mehr vorhanden ist. Es wurden \"Ungereimtheiten\" von Stefan Kanthak festgestellt und von mir im ersten Blog-Beitrag thematisiert. So was sollte bei einem auf Sicherheit ausgelegten Projekt nicht passieren. Gut, es wurde nachgebessert. Dann wurde von Kanthak und heise getestet, es gab wieder \"Ungereimtheiten\", die ich oben skizziert habe. Bei einem solchen Projekt geht es auch um \"Vertrauen\".\u00a0Ich hatte oben auf die \"<a href=\"https:\/\/www.coronic.de\/gegendarstellung\/\" target=\"_blank\" rel=\"noopener\">Gegendarstellung von Coronic<\/a>\" zum heise-Beitrag verwiesen und dass sich Anw\u00e4lte zwischen der Coronic GmbH und heise austauschen. Unabh\u00e4ngig von der Inhaltlichen Seiten der Gegendarstellung wei\u00df ich nicht, ob das jetzt alles eine geeignete Basis ist, um Fragen zur Sicherheit zu diskutieren und ob das gerade vertrauensbildende Ma\u00dfnahmen sind.<\/p>\n<h3>Die Rolle des Verbands<\/h3>\n<p>Die Kollegen von heise lassen sich in ihrem Beitrag noch dar\u00fcber aus, dass der Deutsche Sparkassen- und Giroverband (DSGV) auf Anfrage, warum das nicht fr\u00fcher auffiel, mitteilte, dass die DLL-Hijacking-Schwachstellen (vermutlich nach meinem ersten Artikel) ja beseitigt worden seien, und:<\/p>\n<blockquote><p>Nach Informationen des Herstellers\" habe es \"verschiedenste Sicherheits-Audits durch Kreditinstitute und Sicherheitsdienstleister [gegeben], die durchweg positiv ausgefallen sind\".<\/p><\/blockquote>\n<p>und weiter hei\u00dft es:<\/p>\n<blockquote><p>Vor Abschluss der Vereinbarung zwischen DSGV und Coronic hat im Auftrag des DSGV das CERT der Sparkassen-Finanzgruppe (S-CERT) eine Sicherheitsbewertung durchgef\u00fchrt.<\/p><\/blockquote>\n<p>\u00c4hnliche Verlautbarungen zur Beseitigung der DLL-Hijacking-Schwachstelle kenne ich auch aus dem Mail-Austausch zwischen Stefan Kanthak und diversen Sparkassen.<\/p>\n<p>Mein Eindruck: Da wird von Juristen auf formaler Basis kommuniziert und kommentiert &#8211; bez\u00fcglich der Sachfrage \"wie sicher ist S-Protect\" geht es in diesen Schriftwechseln aber nicht wirklich weiter.<\/p>\n<p>Zum Thema Sicherheits-Audits nur so viel: Ich kenne aus Gespr\u00e4chen einen groben Stand, ist aber \"off the record\". Da mir weder die Auftr\u00e4ge f\u00fcr die Audits noch die Pr\u00fcfberichte vorliegen, und das auch nicht \u00f6ffentlich ware, l\u00e4sst sich schlicht nichts abschlie\u00dfendes zu diesem Thema sagen. Die Aussagen des Verbands sind quasi eine Null-Aussage, was die Sachinformation angeht.<\/p>\n<p>Ich muss an dieser Stelle (basierend auf meinen jetzigen Kenntnissen) davon ausgehen, dass keine der Stellen, die mit Audits beauftragt war, einen Pentest vorgenommen und eine prinipielle Analyse erstellt hat.<\/p>\n<p>Aber wenn jetzt drei Stellen (heise, Kanthak und meine Wenigkeit) bei Tests darauf sto\u00dfen, dass fundamentale Sicherheitsannahmen des S-Protect-Konzepts ausgehebelt werden k\u00f6nnen, die \"Sicherheitsgarde des Sparkassen- und Giroverbands\" aber vorher zu fundamental anderen Ergebnissen kommt, l\u00e4uft irgendwo etwas falsch.<\/p>\n<p>Es k\u00f6nnte nat\u00fcrlich sein, dass ich in der ganzen Angelegenheit schief gewickelt bin und das Sicherheitskonzept der Sparkassenl\u00f6sung bei S-Protect noch nicht verstanden habe oder einfach falsch\u00a0 bzw. anders bewerte. Aber die oben zitierten Aussagen der Sparkasse am Niederrhein bzgl. der Schutzwirkung von S-Protect passen schlicht nicht zu dem Bild, was die von mir oben genannten drei Stellen von diesem Produkt haben.<\/p>\n<h2>Es ist zum Verzweifeln<\/h2>\n<p>Klar, es ist jetzt etwas unfaire Dialektik, wenn ich an dieser Stelle auf mein ungutes Gef\u00fchl bez\u00fcglich der Branche und den k\u00fcrzlich bundesweit aufgetretenen Ausfall der Verifone H5000 Kartenleseger\u00e4te abstelle, wo man ja auch von \"Vers\u00e4umnissen\" munkelt. Mein abschlie\u00dfender Eindruck (Bauchgef\u00fchl), wenn ich mir so bestimmte Sachverhalte durch den Kopf gehen lasse, ist, dass die Finanzbranche in Deutschland sich gerade erfolgreich selbst aus dem Gesch\u00e4ft schie\u00dft &#8211; Kompetenz schreibt sich jedenfalls (zumindest nach meinem Verst\u00e4ndnis) anders.<\/p>\n<p>Statt auf sichere L\u00f6sungen zum Online-Banking abzustellen, wird von den Sparkassen und Volksbanken gerade das Chip-TAN-Verfahren mit autarkem Leser (Chip-TAN-Generator) f\u00fcr die Bankkarte gegen irgendwelche Foto-TAN-L\u00f6sungen auf App-Basis f\u00fcr (Android- oder iOS-)Smartphones ersetzt. Es gibt wohl einen technischen Hintergrund, dass die Reiner SCT Chip-TAN-Generatoren nicht mehr mit dem Flickercode funktionieren.<\/p>\n<p>Aber hier h\u00e4tte ich dann eine gleichwertige Ersatzl\u00f6sung in Form eines Chip-TAN-Generators f\u00fcr QR\/Photo-CODE im 10 Euro Bereich erwartet. Ein hybrider Leser von Reiner SCT liegt momentan bei \u00fcber 32 Euro (siehe tanJack\u00ae photo QR). Was der tan<i>Jack<\/i><i><sup>\u00ae<\/sup><\/i> QR kostet, wei\u00df ich nicht, da dieser \u00fcber die Sparkassen ausgegeben wird. Aktuell sieht es auch so aus, dass es l\u00e4ngere Lieferzeiten f\u00fcr diese TAN-Generatoren gibt.<\/p>\n<p>Und noch ein Punkt: Dass man inzwischen f\u00fcr Transaktionen bis 30 Euro keine PIN bzw. TAN mehr ben\u00f6tigt &#8211; geschenkt\u00a0 &#8211; man will dem Kunden ja Komfort bieten. Ich muss zwar &#8211; der PSD2-Richtlinie sei Dank &#8211; bei der Abfrage meiner Zahlungshistorie \u00fcber l\u00e4ngere Zeitr\u00e4ume das Ganze per TAN best\u00e4tigen und werde auch zur regelm\u00e4\u00dfigen TAN-Eingabe zur Verifizierung des Online-Banking Zugangs gen\u00f6tigt.<\/p>\n<p>Aber ich k\u00f6nnte Fintechs \u00fcber die PSD2-Schnittstelle jederzeit Zugriff auf mein Bankkonto gew\u00e4hren, damit diese meine Zahlungsbewegungen auswerten k\u00f6nnen. Bringt Bankkunden aber in Schwierigkeiten, wenn es um das Entziehen\/Verwalten von Berechtigungen f\u00fcr Dritt-Finanzdienstleister geht. An dieser Stelle m\u00f6chte ich auf den im Januar 2022 bei den Kollegen von Golem erschienenen Beitrag <a href=\"https:\/\/www.golem.de\/news\/psd2-open-banking-wird-unsicherer-und-unuebersichtlicher-2201-161858.html\" target=\"_blank\" rel=\"noopener\">Open Banking wird unsicherer und un\u00fcbersichtlicher<\/a> verweisen. Da findet sich eine Analyse von Erik B\u00e4rwaldt zum Thema Open Banking und zur PSD2-Richtlinie, die Fintechs lukrative M\u00f6glichkeiten bei der Durchforstung der Online-Konten von Bankkunden erm\u00f6glichen soll.<\/p>\n<p>Auch Themen wie DSGVO versus Klarna (siehe <a href=\"https:\/\/www.golem.de\/news\/klarna-super-app-mit-super-datenschutzproblemen-2112-161924.html\" target=\"_blank\" rel=\"noopener\">hier bei Golem<\/a>), oder die \u00dcbernahme der Schufa durch einen schwedischen Investor (<a href=\"https:\/\/web.archive.org\/web\/20220927052157\/https:\/\/www.mdr.de\/nachrichten\/deutschland\/wirtschaft\/schufa-schwedischer-investor-102.html\" target=\"_blank\" rel=\"noopener\">siehe<\/a>) sind in diesem Kontext auch nur Fu\u00dfnoten. Mir dreht sich bei so was der Magen um und es dr\u00e4ngt sich der Eindruck auf, dass die Branche einerseits so was wie eine Goldgr\u00e4berstimmung sieht und manche Protagonisten einfach \"Getriebene\" sind. Andererseits w\u00e4chst eine neue Kundenschicht heran, die auf jeden hippen Schei\u00df h\u00fcpft, sobald Smartphone-App oder neue Zahlungsmethoden drauf gepinselt wird. Und die Banken erf\u00fcllen diese Erwartungen &#8211; m\u00f6glicherweise getrieben von Fintechs, die da Marktanteile abgraben wollen.<\/p>\n<p>Wie formulierte es ein junger Politiker und heutiger Finanzminister auf einem Wahlplakat: \"Digitalisierung first, Bedenken second\" &#8211; dass das sicherheitstechnisch vermutlich den Bach runter geht, geschenkt\u00a0 &#8211; wird schon schief gehen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/\">Geh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/22\/nachlese-gehrteter-online-banking-browser-s-protect-neue-version-neue-erkenntnisse\/#comment-126910\">Nachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/01\/sicherheit-und-die-s-id-check-app-der-sparkassen\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Sicherheit und die S-ID-Check-App der Sparkassen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/23\/vorsicht-phishing-mail-ziel-auf-sparkassenkunden\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Vorsicht: Phishing-Mail zielt auf Sparkassenkunden<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/24\/x-pay-sparkassen-und-banken-gegen-apple-und-google\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">X-Pay: Sparkassen und Banken gegen Apple und Google<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/12\/10\/sparkassen-strung-bei-transaktionen-an-apple-pay-verschluckt\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Sparkassen-St\u00f6rung bei Transaktionen: An Apple Pay verschluckt?<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/06\/12\/chrome-speichert-passwrter-im-speicher-im-klartext\/\">Chrome speichert Passw\u00f6rter im Speicher im Klartext<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/24\/probleme-mit-kartenzahlung-im-handel-softwarefehler-schuld-24-5-2022\/\">Probleme mit Kartenzahlung im Handel: Softwarefehler schuld (24.5.2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/27\/strung-der-verifone-h5000-ec-kartenlesegerte-einige-insights-zur-zertifikateproblematik\/\">St\u00f6rung der Verifone H5000 EC-Kartenleseger\u00e4te, einige Insights zur Zertifikateproblematik<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/29\/strung-der-verifone-h5000-ec-kartenlesegerte-neue-infos-29-5-2022\/\">St\u00f6rung der Verifone H5000 EC-Kartenleseger\u00e4te, neue Infos (29.5.2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/05\/probleme-mit-verifone-h5000-kartenlesegerten-der-status-zum-5-juni-2022\/\">Probleme mit Verifone H5000-Kartenleseger\u00e4ten, der Status zum 5. Juni 2022<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/05\/sicherheit-possen-um-das-anwaltspostfach-bea\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Sicherheit: Possen um das Anwaltspostfach beA<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/12\/28\/offline-bea-bleibt-nach-sicherheitspanne-vorerst-offline\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Offline: BeA bleibt nach Sicherheitspanne vorerst offline<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/12\/30\/bea-debakel-fhrt-zu-mglichem-trojaner-befall\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">beA-Debakel f\u00fchrt zu m\u00f6glichem Trojaner-Befall<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/03\/neues-vom-beagate-bea-ein-brief-der-brak\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Neues vom #beagate (beA), ein Brief der BRAK<br \/>\n<\/a><a href=\"https:\/\/borncity.com\/blog\/2017\/12\/23\/bea-verteilt-zertifikat-mit-privatem-key-beim-besonderen-elektronischen-anwaltspostfach\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/14\/bea-splitter-zum-wochenendausklang\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">#beA-Splitter zum Wochenendausklang<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/27\/risiko-alten-bea-client-sofort-deinstallieren\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Risiko: Alten beA-Client sofort deinstallieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/04\/14\/bea-auch-rechtsanwaltsregister-abgeschaltet\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">beA: Auch Rechtsanwaltsregister abgeschaltet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hier im Blog hatte ich ja bereits zwei Mal \u00fcber S-Protect berichtet. Das ist der \"geh\u00e4rteten\" Browser, den der Deutsche Sparkassen- und Giroverband Online-Banking-Kunden bereitstellen will, um diese bei Bankgesch\u00e4ften vor Risiken auf Windows PCs oder Macs besser sch\u00fctzen soll. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/12\/2-nachlese-zum-gehrteten-sparkassen-browser-s-protect\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-267079","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=267079"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267079\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=267079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=267079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=267079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}