Erst am Montag hat TECHBOOK über den Cyber-Angriff berichtet, der vor kurzem zu Störungen des Online-Bankings der Deutschen Kreditbank AG geführt hat. Viele Stimmen sind auf Twitter und Reddit laut geworden und kritisieren die Bank für die Auslagerung des Online-Banking-Traffics über ein Drittunternehmen. Konkret handelt es sich um Cloudflare, ein Unternehmen, das Webseiten-Sicherheit und Schutz gegen DDoS-Attacken (Distributed Denial-of-Service) bietet.
Online-Banking umgeleitet
Es wird vermutet, dass die DKB zumindest teilweise den Traffic über Cloudflare laufen lässt, während sie an einer Lösung für die technischen Probleme arbeitet. Es ist nicht unüblich, dass Unternehmen – auch Banken – im Fall eines Sicherheitsbruchs auf die Dienste von IT-Sicherheitsexperten zurückgreifen. Da es in Deutschland kaum Unternehmen gibt, die einer groß angelegten DDoS-Attacke etwas entgegenzusetzen haben, muss in solchen Fällen auf ausländische Alternativen ausgewichen werden.
https://oembed/techbook/affiliate/8e14a114338050c482ce7743dc27d6d73280f2f5d936bfd27c61d28f830bb931/b6e36220-42a6-4efa-bc6f-7f5e9964a4e1/embed
Reddit-Nutzern ist aufgefallen, dass die DKB.de-Seite über die Server von Cloudflare in den USA umgeleitet wurden. Dies lässt sich einfach mit der Nachverfolgung der IP-Adresse überprüfen, die auf mehrere Geolocations in den USA, darunter San Francisco und Chicago verweist. Außerdem lassen sich von Cloudflare gesetzte Parameter im Quellcode der DKB.de-Seite finden, zum Beispiel „server: cloudflare“ und „cf-cache-status: DYNAMIC“, wie Twitter-User @Julian24 herausgefunden hat.
Was zur Hölle liebe @DKB_de? Seit wann läuft euer Onlinebanking über Cloudflare und zwar so, dass die offensichtlich das HTTPS aufmachen und damit Zugriff auf meine Daten bekommen?! pic.twitter.com/9habRgTSia
— Julian (@julian24) January 9, 2020
Dadurch, dass die Transport-Layer-Sicherheit (TLS) der DKB-Seite von Cloudflare abgehandelt wird, ist es theoretisch möglich, dass das Unternehmen Einsicht in die Login-Daten der DKB-Nutzer bekommt. Das würde bedeuten, dass nicht nur der Login-Name, sondern auch das Passwort unverschlüsselt bei Cloudflare landen – auch wenn die Verschlüsselung nach außen natürlich funktioniert. Auch das, was im Online-Banking angezeigt wird – Transaktionen, Kontostände und -nummern – können im Klartext ausgelesen werden.
Und damit noch nicht genug: Der sogenannte CLOUD Act erlaubt es der US-Regierung, die Herausgabe von Daten, die von US-basierten IT-Unternehmen gespeichert werden, gerichtlich anzuordnen – egal, ob die Daten in den USA oder außerhalb gespeichert sind. Damit könnten Behörden wie die NSA und CIA Zugriff auf Daten der deutschen Banking-Nutzer zugreifen.
Auch interessant: Banking-Trojaner greift selbst sichere Android-Smartphones an
Keine klare Antwort der DKB
Leider wollte die DKB den Zugriff auf Nutzerdaten durch Cloudflare weder bestätigen noch dementieren, mit der Begründung, dass dies die Sicherheit und die laufenden Ermittlungen beeinträchtigen könnte: „Bitte haben Sie Verständnis, dass wir aus Gründen der IT-Sicherheit und vor dem Hintergrund laufender Ermittlungen der zuständigen Behörden keine detaillierteren Auskünfte geben.“
https://oembed/techbook/affiliate/71f8a1e353a648847151701de569f75f954c6ca837ab1d4b589407c4b43e2cf2/b6e36220-42a6-4efa-bc6f-7f5e9964a4e1/embed
Die Bank gab aber zumindest zu, dass es mit nicht weiter benannten Unternehmen zusammenarbeite, um den Zugang zum Online-Banking aufrecht erhalten zu können: „[W]ir [arbeiten] auch mit IT-Sicherheitsunternehmen zusammen, um unsere Internetanwendungen vor bösartigem Traffic (z.B. kriminelle Bots) zu schützen und deren Verfügbarkeit aufrecht zu erhalten. Das ist branchenüblich, um Ihnen einen bestmöglichen Schutz zu bieten. Wir greifen dabei nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als potenzieller Anbieter zum Schutz vor solchen Angriffen gelistet sind und die DSGVO-konform arbeiten.“
TECHBOOK meint
„Dass die DKB sich nicht dazu äußern will, ob Drittparteien wie Cloudflare Zugriff auf Nutzerdaten hatten oder haben, ist verständlich – hinterlässt aber einen fahlen Beigeschmack. Klar, aus Sicht des Unternehmens man könnte argumentieren, dass die Aufrechterhaltung des Online-Banking-Portals von größerer Bedeutung sei, als dass Dritte potenziell Login-Daten mitlesen können. Für Nutzer ist es jedoch wichtiger, sich bei ihrer Bank sicher zu fühlen – daher wäre eine Aufklärung dieses Sachverhalts besonders wichtig.“– Adrian Mühlroth, Redakteur