Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Nach Cyber-Angriff

Wie sicher sind meine Bank-Daten bei der DKB?

Erst am Montag hat TECHBOOK über den Cyber-Angriff berichtet, der vor kurzem zu Störungen des Online-Bankings der Deutschen Kreditbank AG geführt hat. Viele Stimmen sind auf Twitter und Reddit laut geworden und kritisieren die Bank für die Auslagerung des Online-Banking-Traffics über ein Drittunternehmen. Konkret handelt es sich um Cloudflare, ein Unternehmen, das Webseiten-Sicherheit und Schutz gegen DDoS-Attacken (Distributed Denial-of-Service) bietet.

Online-Banking umgeleitet

Es wird vermutet, dass die DKB zumindest teilweise den Traffic über Cloudflare laufen lässt, während sie an einer Lösung für die technischen Probleme arbeitet. Es ist nicht unüblich, dass Unternehmen – auch Banken – im Fall eines Sicherheitsbruchs auf die Dienste von IT-Sicherheitsexperten zurückgreifen. Da es in Deutschland kaum Unternehmen gibt, die einer groß angelegten DDoS-Attacke etwas entgegenzusetzen haben, muss in solchen Fällen auf ausländische Alternativen ausgewichen werden.

https://oembed/techbook/affiliate/8e14a114338050c482ce7743dc27d6d73280f2f5d936bfd27c61d28f830bb931/b6e36220-42a6-4efa-bc6f-7f5e9964a4e1/embed

Reddit-Nutzern ist aufgefallen, dass die DKB.de-Seite über die Server von Cloudflare in den USA umgeleitet wurden. Dies lässt sich einfach mit der Nachverfolgung der IP-Adresse überprüfen, die auf mehrere Geolocations in den USA, darunter San Francisco und Chicago verweist. Außerdem lassen sich von Cloudflare gesetzte Parameter im Quellcode der DKB.de-Seite finden, zum Beispiel „server: cloudflare“ und „cf-cache-status: DYNAMIC“, wie Twitter-User @Julian24 herausgefunden hat.

Dadurch, dass die Transport-Layer-Sicherheit (TLS) der DKB-Seite von Cloudflare abgehandelt wird, ist es theoretisch möglich, dass das Unternehmen Einsicht in die Login-Daten der DKB-Nutzer bekommt. Das würde bedeuten, dass nicht nur der Login-Name, sondern auch das Passwort unverschlüsselt bei Cloudflare landen – auch wenn die Verschlüsselung nach außen natürlich funktioniert. Auch das, was im Online-Banking angezeigt wird – Transaktionen, Kontostände und -nummern – können im Klartext ausgelesen werden.

Und damit noch nicht genug: Der sogenannte CLOUD Act erlaubt es der US-Regierung, die Herausgabe von Daten, die von US-basierten IT-Unternehmen gespeichert werden, gerichtlich anzuordnen – egal, ob die Daten in den USA oder außerhalb gespeichert sind. Damit könnten Behörden wie die NSA und CIA Zugriff auf Daten der deutschen Banking-Nutzer zugreifen.

Auch interessant: Banking-Trojaner greift selbst sichere Android-Smartphones an

Keine klare Antwort der DKB

Leider wollte die DKB den Zugriff auf Nutzerdaten durch Cloudflare weder bestätigen noch dementieren, mit der Begründung, dass dies die Sicherheit und die laufenden Ermittlungen beeinträchtigen könnte: „Bitte haben Sie Verständnis, dass wir aus Gründen der IT-Sicherheit und vor dem Hintergrund laufender Ermittlungen der zuständigen Behörden keine detaillierteren Auskünfte geben.“

https://oembed/techbook/affiliate/71f8a1e353a648847151701de569f75f954c6ca837ab1d4b589407c4b43e2cf2/b6e36220-42a6-4efa-bc6f-7f5e9964a4e1/embed

Die Bank gab aber zumindest zu, dass es mit nicht weiter benannten Unternehmen zusammenarbeite, um den Zugang zum Online-Banking aufrecht erhalten zu können: „[W]ir [arbeiten] auch mit IT-Sicherheitsunternehmen zusammen, um unsere Internetanwendungen vor bösartigem Traffic (z.B. kriminelle Bots) zu schützen und deren Verfügbarkeit aufrecht zu erhalten. Das ist branchenüblich, um Ihnen einen bestmöglichen Schutz zu bieten. Wir greifen dabei nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als potenzieller Anbieter zum Schutz vor solchen Angriffen gelistet sind und die DSGVO-konform arbeiten.“

Profilbild

TECHBOOK meint

„Dass die DKB sich nicht dazu äußern will, ob Drittparteien wie Cloudflare Zugriff auf Nutzerdaten hatten oder haben, ist verständlich – hinterlässt aber einen fahlen Beigeschmack. Klar, aus Sicht des Unternehmens man könnte argumentieren, dass die Aufrechterhaltung des Online-Banking-Portals von größerer Bedeutung sei, als dass Dritte potenziell Login-Daten mitlesen können. Für Nutzer ist es jedoch wichtiger, sich bei ihrer Bank sicher zu fühlen – daher wäre eine Aufklärung dieses Sachverhalts besonders wichtig.“Adrian Mühlroth, Redakteur
Themen DKB Online-Banking Sicherheit Smart Finance
Technik-Angebote entdecken bei kaufDA
Logo KaufDA
Anzeige
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.