{"id":292834,"date":"2024-02-29T00:07:00","date_gmt":"2024-02-28T23:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292834"},"modified":"2024-02-28T19:42:03","modified_gmt":"2024-02-28T18:42:03","slug":"banken-fail-i-wenn-banker-frei-drehen-und-15-000-usb-sticks-verschicken-um-papier-zu-sparen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/29\/banken-fail-i-wenn-banker-frei-drehen-und-15-000-usb-sticks-verschicken-um-papier-zu-sparen\/","title":{"rendered":"Banken-Fail I: Wenn Banker frei drehen, und 15.000 USB-Sticks verschicken, um Papier zu sparen"},"content":{"rendered":"

\"StopEs gibt so Tage, das fasst Du dich an den Kopf und bettelst \"Herr, wirf Hirn vom Himmel\". Ich plane schon l\u00e4nger eine Artikelreihe zu Banken-Fails – also Entwicklungen, wo Banken keine gute Figur machen. Eigentlich war was zum Thema TAN-Generatoren f\u00fcr Teil 1 vorgesehen, ich wurde aber von der Wirklichkeit rechts \u00fcberholt. Die Sparkasse Bremen hat 15.000 USB-Sticks per Brief an seine Gesch\u00e4ftskunden verschickt, um denen die AGBs zu \u00fcbermitteln. Ziel war es, Papier zu sparen. Nett gedacht ist nicht gut gemacht – USB-Sticks zu verschicken ist aus Sicht der Cybersecurity das D\u00fcmmste, was Du machen kannst.<\/p>\n

<\/p>\n

Die Sache mit den F\u00e4hnchen, …<\/h2>\n

\"\"Die Story kann nat\u00fcrlich nicht ohne einen Kalauer starten, denn es gibt die \"Sache mit den F\u00e4hnchen\" – f\u00fcr Nicht-Insider: Das war eine Sparkassen-Werbung aus dem Jahr 2013 f\u00fcr das Girokonto. Die 08\/15-Bank hatte Krisensitzung der F\u00fchrungsetage anberaumt, um Kunden zu gewinnen. Vorschl\u00e4ge waren \"Bunte F\u00e4hnchen zu verteilen\", oder \"Kundenansprache individuell\" – es folgte der Vorschlag \"wir machen das mit den F\u00e4hnchen\" – der Clip l\u00e4sst sich auf YouTube<\/a> ansehen. <\/p>\n

\"Wir<\/a><\/p>\n

… \u00e4h mit USB-Sticks<\/h2>\n

Die Sparkasse Bremen sah sich in der juristischen Verpflichtung, ihre Gesch\u00e4ftskunden \u00fcber neue Allgemeine Gesch\u00e4ftsbedingungen (AGB) zu informieren. Standardm\u00e4\u00dfig hei\u00dft das, eine Menge Papier bedrucken, in 15.000 Kuverts eint\u00fcten und verschicken. Aber jemand hatte eine gute Idee: Um Papier zu sparen, speicherte man die AGBs auf USB-Sticks, klebt diese auf Postkarten und verschickt diese an die Firmenkunden. <\/p>\n

\"Postkarte<\/a><\/p>\n

Das ist nun kein Witz geblieben, ein Reddit-Nutzer hat das obige Bild mit der Postkarte und dem aufgeklebten USB-Stick gepostet<\/a>. Spiegel Online hatte erstmals berichtet (hinter einer Paywall) und von der Sparkasse die Best\u00e4tigung erhalten, dass der Bericht zutrifft. Der Spott der reddit-Nutzer ist der Sparkasse Bremen sicher. O-Ton 1: \"Plottwist: Sparkasse weis von nichts aber du hast jetzt einen Trojaner. \", Antwort \"Entweder das oder das ist deren Verst\u00e4ndnis von Digitalisierung.\"<\/p>\n

Ein weiterer Reddit-Nutzer sieht ein echtes Problem: \"Plot twist: Mein Endger\u00e4t hat gar keinen USB A Port mehr. Und Oma Gruber aus dem Seniorenstift nebenan hat da auch ein Problem.\" Nun ja, den guten Mann kann man beruhigen, \"Oma Gruber aus dem Seniorenstift\" geh\u00f6rt nun nicht mehr zur Gilde der Sparkassen-Gesch\u00e4ftskunden – das F\u00e4hnchen habe ich gleich mal abger\u00e4umt. <\/p>\n

Das D\u00fcmmste seit langem<\/h2>\n

Ich bin \u00fcber nachfolgenden Tweet<\/a> von Dennis Kipker<\/a>, Professor f\u00fcr Sicherheit, auf das Thema gesto\u00dfen – heise hat es aber ebenfalls aufgegriffen<\/a>. Kipker bringt es auf den Punkt: Ehrlicherweise ist das mit Verlaub das Schwachsinnigste, das ich seit Jahren in Sachen Cybersecurity gelesen habe: \"Eine Bank hat per Post knapp 15.000 USB-Sticks mit neuen Gesch\u00e4ftsbedingungen verschickt.\"<\/em><\/p>\n

\"Kritik<\/a><\/p>\n

Es ist eine nette Idee, aber nicht zu Ende gedacht – oder halt Digitalisierung 2024 in Deutschland. Bereits 2017 hatte ich den Beitrag IBM-Warnung: Malware auf USB-Sticks<\/a> hier im Blog, der das \u00dcbel sofort auf den Punkt bringt. Kein Unternehmen verschickt mehr USB-Sticks, weil diese ein Sicherheitsrisikio darstellen. Im gleichen Jahr hat es dann den Hersteller von Elektroschaltschr\u00e4nken, Rittal, getroffen, der einen USB-Stick, der als HID-Tastatur agiert, verschickte (siehe Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert<\/a>). <\/p>\n

Sp\u00e4testens da h\u00e4tte das Thema erledigt sein m\u00fcssen. Aber es ist wie bei Microsoft: Unter dem Motto 'Und sie lernen es nicht' verschickte ein Versicherer 2018 USB-Sticks an Kunden, um f\u00fcr seine neusten Angebote zu werben. Ich hatte es im Blog-Beitrag Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung<\/a> thematisiert. <\/p>\n

Es hat etwas M\u00fche und Zeit gekostet, um den Hattrick<\/a> voll zu machen – wir mussten bis 2024 warten, bis die Sparkasse Bremen das \"Tor\" mit ihrer Aktion erzielt hat. Bei heise las<\/a> ich von der Sorge vor Drittbrettfahrern. Mal schnell einige USB-Sticks pr\u00e4pariert und Sparkassen-Gesch\u00e4ftskunden \u00fcber deren Briefk\u00f6pfe oder Internetauftritte identifiziert – schon kommt der Trojaner per Post – und im Mantel der Sparkasse – frei Haus. Ich bremse ja schon mal beim allzu blau\u00e4ugigen \"Drang zur Cloud\". So hatte ich mir Digitalisierung dann aber auch wiederum nicht vorgestellt. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung<\/a>
Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert<\/a>
IBM-Warnung: Malware auf USB-Sticks<\/a><\/p>\n

Artikelreihe:<\/strong>
Banken-Fail I: Wenn Banker frei drehen, und 15.000 USB-Sticks verschicken, um Papier zu sparen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Es gibt so Tage, das fasst Du dich an den Kopf und bettelst \"Herr, wirf Hirn vom Himmel\". Ich plane schon l\u00e4nger eine Artikelreihe zu Banken-Fails – also Entwicklungen, wo Banken keine gute Figur machen. Eigentlich war was zum Thema … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4293,4328],"class_list":["post-292834","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-allgemein","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292834","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292834"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292834\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292834"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292834"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292834"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}