Zugriff auf 350.000 Rechnungen im Sparkasse-Shop

Eine neue delikate Datenschutz-Lücke erreichte uns am Wochenende. Auf dem Sparkassen-Finanzportal findet sich ein Sparkassen-Shop („Durchdachte Produkte für Ihre Finanzen“), über den man allerlei Waren kaufen kann. Dazu zählen die Top-Angebote „Star Money 7.0“, das „Update Star Money 7.0“ oder sicherlich besonders begehrte Publikationen wie den „Branchenreport Augenoptiker“ als PDF-Ausgabe für 25 Euro. Der Shop wird von der Deutsche Sparkassen Verlag betrieben und auf sparkasse.de eingebunden.

Soweit so gut. Unsere Quelle berichtete, dass man als eingeloggter Nutzer auf alle Rechnungen zugreifen konnte. Möglich machte dies eine Lücke im System. Wenn man sich in der eigenen Bestellhistorie die eigenen Bestellungen anschauen wollte, konnte man über die Änderung einer ID auch jede andere Rechnung im System anschauen. Dazu reichte die Verwendung des Firefox-AddOn Firebug, der den Sourcecode einer Seite anzeigt und damit kann man diesen direkt verändern. Wir brauchten uns nur mit Firebug anzuschauen, welche Zahl hinter dem Button „Details“ in der Bestellhistorie übergeben wird und mussten lediglich diese Zahl ändern. Statt „333333“ konnte man sich auch die Rechnung „222222“ anschauen. Das klappte ohne programmieren. Damit hatten wir Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop!


sparkassen_bug
Wir probierten durch, was wohl die erste Rechnung im System ist. Die niedrigste Zahl war 001000, dann hatten wir keine Lust mehr, denn 000500 war noch offensichtlich ein Test ohne Bestellinhalt. Die Rechnung mit der Nummer 001000 war aus dem Oktober 2006. Jede Rechnungsnummer zwischen 001000 und der aktuellen Zahl (etwas unter 350.000) klappte und war eine eigene Rechnung.

Was konnte man auf der Rechnung sehen?

Die Rechnung enthielt alle relevanten Informationen, die man in der Regel auf einer solchen vorfindet. Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Hier konnte man in der Regel davon ausgehen, dass die Kunden alle bei der Sparkasse sind.

Insofern fanden wir die Zahlungsart (Häufig Bankeinzug), Kontoinhaber, Bankleitzahl und den Name der Bank. Die Kontonummern waren bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Aber wer konnte von den Entwicklern auch ahnen, dass es anscheinend sehr kleine Orts-Sparkassen gibt, die nur vierstellige Kontonummern haben? Die Sparkasse Holstein Eutin scheint so eine zu sein, wie wir mit einer Suchmaschine verifizieren konnten. Also hatten wir auch Zugriff auf manche komplette Bankdaten.

Wir haben es mangels Interesse nicht verifiziert, aber unsere Quelle sprach davon, dass es auch kein Problem sei, mit Hilfe eines Scripts alle Rechnungen nacheinander bequem herunter zu laden. Die im Shop erworbenen Produkte wie der „Branchenreport Augenoptiker“ oder „Star Money 7.0“ sind nicht ganz so heikel wie z.B. die gekauften Bücher in den Libri-Stores. Aber man fragt sich doch, wie es um die allgemeine IT-Sicherheit der Sparkassen gestellt ist, bei denen ich Online-Banking mache, wenn wir Zugriff auf 350.000 Rechnungen in ihrem Shop hatten.

Die Deutscher Sparkassen Verlag GmbH sitzt in Stuttgart. Wir haben sie gestern über die Situation informiert und Zeit zur Behebung der Lücke gegeben. Am späten Nachmittag bekamen wir die Antwort, dass die Lücke behoben sei und uns wurde noch ein Statement für heute versprochen.

*Nach Hinweis kleine Änderung am Anfang gemacht, weil das deutsche Finanzportal nicht vom Deutsche Sparkassen Verlag betrieben wird, die nur den Shop dafür liefern.

Update: Nun gibt es eine Stellungnahme des Deutschen Sparkassen Verlages:

Der Internetblog www.netzpolitik.org informierte uns über eine Sicherheitslücke in unserem Shop www.sparkassen-shop.de. Diese konnte nach Bekanntgabe umgehend innerhalb einer Stunde geschlossen werden, hochsensible Kundendaten wie Kontodaten waren zu keiner Zeit einsehbar gewesen. Ein Missbrauch der Sicherheitslücke konnte deshalb nicht nachgewiesen werden. Die Sicherheitslücke stellte sich folgendermaßen dar: Um seine Bestellhistorie im Shop einzusehen, wählt der Kunde im Kundenbereich den Menüpunkt „Ihre Bestellungen“ aus und erhält eine entsprechende Auflistung. Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden – also Name und Adresse, Bestellpositionen und -beträge sowie die Zahlungsweise. Kontonummern waren hingegen nicht einsehbar, da ausschließlich die letzten vier Ziffern der jeweiligen Kontonummer angezeigt wurden und somit die Kontoverbindung anonym blieb.

Nach Meldung der Sicherheitslücke konnte das Problem bereits innerhalb einer Stunde identifiziert und behoben werden. Eingefügt ist nun eine Prüfung im Hinblick auf die Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten. Wird nun eine fremde Bestell-ID eingeschleust, gibt das System ausschließlich die Bestellhistorie des angemeldeten Kunden aus und keine fremden Bestelldaten. Noch am Tag der Fehlerbehebung veranlasste der Deutsche Sparkassenverlag umfassende Funktionstests des Kundenbereichs, wobei keine weiteren Unregelmäßigkeiten entdeckt wurden. Um den hohen Sicherheitsstandard für die Shopkunden dauerhaft zu gewährleisten, untersucht nun eine Arbeitsgruppe das Shop-Frontend. Anschließend wird ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführen.

Bei den Kontonummern bin ich noch nicht überzeugt, weil ich auch vierstellige Kontonummern gefunden haben, wie von der Sparkasse Eutin. Dass diese anscheinend auch vierstellige Kontonummern hat, kann man leicht bei Google überprüfen.

87 Ergänzungen

  1. Verdammt! Bis jetzt hat mich die ganze Datenschutzsache nicht betroffen. Bei Libri hab ich nie bestellt und mein schuelerVZ Account wurde nie ausgefüllt, aber verdammt noch mal. Aber jetzt trifft es mich wie ein Schlag. Ich habe bis jetzt noch nicht viel zu verbergen, aber ich möchte verdammt noch mal meine Privatsphäre, vor allem bei meiner Bank!
    Unglaublich sowas!

  2. In dem Statement steht bestimmt was von den bösen Hackern von netzpolitik.org, die es zum Glück nur bis zu den Onlineshop-Rechnungen geschafft haben und danach gescheitert sind.

  3. Hallo !

    Ich bin IT-Sicherheitsbeauftragter in einer Sparkasse und danke für diesen Artikel.

    Allerdings bitte ich zur Kenntnis zu nehmen, dass der Shop des Sparkassen Verlags nichts mit den Sparkassen an sich und erst Recht nicht mit dem OnlineBanking zu tun hat. Die Datenlücke hätte niemals auftreten dürfen aber einen Vergleich zur Onlinebanking-Sicherheit zu ziehen ist nicht angebracht. Meines Wissens wird der Shop vom rechtlich eigenständigen Sparkassenverlag nicht einmal in einem unserer Rechenzentren gehostet. Vieleicht hätten sie dies tun sollen anstatt es selbst zu versuchen -.- … Danke für den Imageverlust Kollegen.

    1. @Andre Schönfuß: Danke für die Klarstellung. Allerdings ist die gemeinsame Marke schon eher verwirrend und die Sache strahlt in Sachen Vertrauenswürdgkeit auf das Online-Banking ab.

  4. »…dass der Shop des Sparkassen Verlags nichts mit den Sparkassen … zu tun hat…«

    @6. Andre Schönfuß: Es werden Produkte rund um Finanzen verkauft, das Sparkassenlogo prangt drauf, das CI stimmt und der Begriff Sparkasse taucht gleich mehrfach auf jeder Seite auf. Wenn der Sparkassenverlag nichts mit den Sparkassen zu tun hat, dann sollte man den Betreibern schnellstens die Verwendung der Zeichen und Begriffe untersagen. Falls aber doch, dann sollten die Sparkassen drauf drängen, dass auch dort die gleichen Standards an Datensicherheit angelegt werden, wie im eigenen Haus.
    Für den Kunden ist der Unterschied vielleicht nicht so deutlich wie fürs Finanzamt.

  5. ich wollte nur mal anmerken, dass es mal 2 sql-injections frontal in 2 sparkassen-portalen gab! mysql lief als „root“-.-
    die lücke wurde gemeldet,sogar telefonisch, aber da waren die IT mitarbeiter zu inkompetent (tut mir leid, ist aber leider so gewesen), danach erfolgte kontaktaufnahme über einen ex-it’ler der sparkasse, der wusste wovon ich rede.
    nur haben die sparkassen nicht wirklich reagiert…
    irgendwann wird auch dieser fehltritt bestraft und irgendwer verschafft sich zugriff!
    naja nur so am rande!

    eventuell sind die lücken ja geschlossen mittlerweile, ich habe keine lust nachzuschauen ;)

  6. … das grenzt nun echt an realsatire. und es passt auch irgendwie zum kürzlichen anruf meiner sparkasse vor ort: „ich würde ja zuviel steuern bezahlen und der filialleiter möchte mich gerne zu einem beratungsgespräch einladen.“
    es überraschte mich, wie vertrauensvoll bereits intern mit persönlichen daten umgegangen wird.

  7. Was ist mit den Leuten, die solche Lücken professionell ausnutzen? Werden die jetzt arbeitslos, wenn netzpolitik.org im gleichen Tempo weitermacht? Ich vermute, nein. Auf Betreiber von Online-Shops ist einfach Verlass.

  8. Vollkommen richtig, dass alles unter dem Sparkassen-Logo für den Kunden eins ist. So ist es ja von uns auch beabsichtigt. Nur sind darunter jede Menge rechtlich eigenständige Unternehmen die manchmal eben eigenständig Dinge tun.

    Die Kritik ist in jedem Fall berechtigt und ich gehe der Sache gerade intern nach. Ich versuche eben nur parallel die Sache etwas klar zustellen und unnötige Flächenwirkungen zu vermeiden. Die erste Hinweise ala da war schon mal ein Sicherheitsleck vor Jahren in einer mySQL-config sind genau die Sachen die dann losgehen. Sinnlos, nicht zielführend Hauptsache ich hab was gesagt … :-(.

  9. @14.
    nicht vor jahren ;)
    vor < 5 Monaten!

    und da nach 1 monat (nach dem alle infos den hoffentlich betroffenen leuten) zugesand wurden, immer noch alles so war, wie ich es gefunden habe, würde ich drauf wetten, es ist weiterhin so!

    meine frage dann:
    wenn ich eine gefährliche SQL-Injection bei SPK finde, und da nicht in irgendnem nebenangebot, sondern direkt im System bzw auf der gleichen Domain, wie das Hauptsystem der betroffenen Bank läuft und da dann eben zusätzlich config-Fehler auftauchen, die es erlauben per Injection eine Shell zu droppen und ggf den Server mal genauer unter die Lupe zu nehmen?
    Wie soll man bei sowas vorgehen?
    Ich für meinen Teil habe mich mit dem EDV-Leiter (meine ich zumindest) telefonisch zusammengeschlossen, der bat mich das per Mail zu schicken, er würde drauf antworten, aber bis heute ist nichts passiert!
    Der zweite Schritt war den Ex-geschäftsführer der S-ONLINE-SERVICE gmbH zu kontaktieren, da er mehr Kontakte hatte, als ich!
    Gesagt getan (er bekam keine genauen infos über die Lücke(N)!!!!) gab mir nur eine Telefonnummer, aber das ging auch nicht wirklich rund. Der Herr am Apparat verstand nicht wirklich was ich von ihm wollte…

    … deswegen gingen nochmal EMails mit groben Infos raus, und einer bitte sich doch zu melden, da ich nicht wüsste, ob ich die richtige Mail erwischt habe.
    Keine Antworten!

    Deswegen habe ich aufgegeben…

    … als Kunde der Sparkasse (bin ich immernoch, aber ich weiß, dass meien lokale Sparkasse NICHT betroffen ist ;) )

    Grüße

  10. Hallo,

    ich hab ähnlich zwiespältige Erfahrungen mit der IT aus dem Sparkassenumfeld gemacht. Der Dienstleister für die Kreditkarten bietet ein Online-Frontend an, in dem ich meine Kreditkartenabrechnungen ansehen kann. Im Fehlerfall werden alle meine Kreditkartendaten jedoch unverschlüsselt in eine SQL-Datenbank geschrieben. Die entsprechende Fehlermeldung habe ich hier dokumentiert:

    http://gonium.net/md/2008/04/19/vertrauen-in-internetbanking/

    Insofern: Kompetenz ist anders. Vielleicht wurde dies aber mittlererweile auch behoben, keine Ahnung.

  11. ok, also der DSV besitzt den Shop und ist gleichzeitig der Lösungsanbieter für die Sparkassen-Finanzgruppe:
    „Ob Bücher… Softwarelösungen, banktechnische Geräte oder Zahlungsverkehrskarten: Die DSV-Gruppe ist modernes Medienhaus und Lösungsanbieter für die Unternehmen und Verbände der Sparkassen-Finanzgruppe.“
    …na dann ist ja alles SUPER!
    http://dsv-gruppe.de/profil/index.htm
    Kann nur hoffen das die schleunigst alle Ihre Lösungen prüfen, und auf E-Mails reagieren!!!

  12. Die Verwundbarkeit (selbes Prinzip wie bei Libri, Authorisierung ist nicht an die Rechnung gebunden sondern an alle Rechnungen) hat einen Namen: „Direct Request“ http://cwe.mitre.org/data/definitions/425.html

    Was mich immer wieder erstaunt ist, dass so viele gut bekannte Dinge falsch gemacht werden. Was passiert denn erst, wenn man sich nicht mehr auf die „low-hanging fruits“ konzentriert.

  13. Hach, ich hatte neulich auch ein Beratungsgespräch in der Sparkasse. Dabei wurde mir dann eine Datenschutz-Erklärung zur Unterschrift vorgelegt, meine Kopie davon hab ich vor mir liegen. Unter Punkt 2 „Einwilligung zum Datenschutz“ heisst es:
    „(…) Daher willige ich ein, dass die Sparkasse [OrtsName] ihren Kooperationspartnern und Tochterunternehmen bzw. deren zuständigen Außendienstmitarbeitern alle erforderlichen Angaben zur dortigen Datenverarbeitung und -nutzung übermitteln, um eine Beratung aufzunehmen und durchzuführen. In diesem Rahmen entbinde ich die Sparkasse zugleich vom Bankgeheimnis. (…)

    Auf dem beigefügten Merkblatt stand dann noch
    „(…) Unsere derzeitigen Kooperationspartner sind: (…)“
    Derzeitig, aha, toll.

    Glücklicherweise konnte ich Einverstanden – Ja oder Nein ankreuzen, somit habe ich direkt widersprochen, statt einfach nur nicht zu unterschreiben.

  14. Ich sehe schon die Schlagzeilen:
    FDP und Schäuble wollen die Sicherheit in Finanz- und Wirtschaftswelt erhöhen und verbieten daher das Hackerpotal netzpolitik.org, das in der Vergangenheit durch zahlreiche illegale Hackmaßnahmen aufgefallen ist….

  15. Wenn man kundtut, dass man seinen alten Schalterbeamten in seiner Bankfiliale um die Ecke wiederhaben möchte, macht man sich auf diesem Blog vermutlich unmöglich, stimmts ? Dann tue ich das lieber auch nicht …

  16. Die PIN (aka das Passwort) zum Online-Banking bei allen (mir bekannten) Sparkassen darf man zwar ändern, aber nur 5 (in Worten: FÜNF) Zeichen lang sein!
    Dass das mal gar nicht geht, habe ich meiner Sparkasse seit Jahren wiederholt gesagt. Nie ist etwas passiert.

  17. Zum in einem vorherigen Kommentar angemerkten Umgang mit sehr persönlichen Bankdaten unter Angestellten:
    Normalerweise hat bis hinunter zum Praktikanten der ein Jahr lang sein FOS-Praktikum in einer Sparkasse absolviert, jeder Zugang zu fast allen Kundendaten. Ihr macht euch doch gar kein Bild, wie es hinter vorgehaltener Hand in solchen Instituten abgeht. Da ist die marode finanzielle Situation mancher Kunden auch mal Gegenstand einer lustigen Runde in der Kantine.
    Sicherungseinrichtungen diese Daten nicht massenhaft aus dem Institut zu tragen fehlen meist gänzlich.
    In meinem Institut gab es doch sogar Leitfäden, dass Beschwerden sozial schwacher Kunden aufzunehmen aber danach direkt als erledigt markiert abzulegen wären.
    Das erste was ich nach meinem Engagement bei einer großen norddeutschen Sparkasse gemacht habe, war ein Kontenwechsel… ;)

  18. @Ralf, 33: oha, bei news.magnus.de wird netzpolitik.org auch schon als „Dienst“ bezeichnet. Und aus
    „bis auf die letzten vier Zahlen zur Sicherheit geschwärzt“
    wurde
    „Kontonummern sollen bis auf vier Endziffern ebenfalls einsehbar gewesen sein.“

    Klarer Fall von Qualitätsjournalismus.

  19. also ich denke das der Beitrag hier ist wieder „so etwas“ um die Menschen noch mehr zu verängstigen . was soll das??? was hat ein Verlag mit einer Bank zu tun? auch wenn das Sparkassenverlag heissen mag.Das sind doch Firmeninterne-Angelegenheiten.Und übrigens MARKUS hast du schon mal was positives in dein Leben hier berichtet.Ich würde mich mal über ein positiver Beitrag von DIR sehr freuen wenn Du das irgendwann mal schaffst.

  20. wie wärs mit ner art spin-off vom netzpoltik-blog…also nen sicherheitslücken-blog.wäre echt nteressant! denn ich glaube das was bisher hier zu lesen war,war erst die spitze des eisbergs und viele wissen nicht wohin mit ihren infos.

    mfg

  21. also den infos,die auch mal nach ner zeit öffentlich werden, damit normal-user auch wissen was da mal gewesen ist

  22. @diesmal lieber ohne namen:

    „Sicherungseinrichtungen diese Daten nicht massenhaft aus dem Institut zu tragen fehlen meist gänzlich.“

    Will ja keinem hier zu nahe treten aber ich halte diese pauschale Aussage für nicht wirklich haltbar. Dafür müsstest Du ja einen tiefen Einblick in beispielsweise über 400 Sparkassen haben, von Behörden ganz zu schweigen. Anscheinend warst Du ja mal bei einer Sparkasse und bist gegangen. Hoffentlich nicht zum AWD oder zur Post, denn die hatten ja kürzlich ein etwas dickeres Problem als das hier ;-).
    Was da beim Sparkassenverlag vorgefallen ist, darf nicht passieren, sehe ich genau so. Aber davon auf die IT in Sparkassen und deren Sicherheit, insbesondere bezogen auf Kundendaten zu schließen halte ich für schlichtweg falsch weil es technisch nicht zusammenhängt.

  23. @Mad
    Ich rede von einem Institut mit einer mittleren sechstelligen Kundenanzahl und einer hohen zweistelligen Zahl an Standorten in der betreffenden Region. Weiterhin Mitarbeiter im vierstelligen Bereich und einer Billanzsumme von x Milliarden Euro.
    Also keineswegs von irgendeinem Dorfinstitut… ;)
    Davon ab muss man keinen Einblick in die Abläufe hunderter Institute haben. Die Datenverarbeitung der Sparkassen läuft über wenige regionale Institute – aber das weißt Du ja sicher.
    Weitere interessante Einblicke aus meinem Einsatz in der EDV dort verkneife ich mir lieber, es gab da mal so einen Wisch zum Thema „Schweigen auf Lebenszeit“ :)

  24. Es sollte natürlich heißen:
    „Die Datenverarbeitung der Sparkassen läuft über wenige regionale Rechenzentren“

  25. @ohne Namen

    ich bin immernoch nicht einverstanden. ;-)
    anscheinend hast du mal in der IT einer mittelgroßen Kasse gearbeitet. Das lässt sich aber meiner Meinung nach nicht mit dieser Panne vergleichen. Klar hat man in der IT je nach Stelle Zugriff auf allerlei Kundendaten. Das ist aber nix Sparkassen-spezifisches sondern ist doch überall so. Geht ja auch nicht wirklich anders. Und wenn da einer was klaut ist das kriminell und wird verfolgt. ´
    Was die Sicherheit beim Online-Banking oder die Sicherheit der Daten generell sind die Kassen denke ich gut aufgestellt. Es gibt ja auch jede Menge Auflagen die es zu erfüllen gillt… Bafin und so weiter…

  26. @Diesmal_lieber_ohne Namen

    mach doch mal köpfe mit nägel!(so geht doch spreichwort?) und schicke netzpolitik.org deine erkenntnisse .du bleibts anonym!!

  27. @46 – Mad
    \…Was die Sicherheit beim Online-Banking oder die Sicherheit der Daten generell sind die Kassen denke ich gut aufgestellt. Es gibt ja auch jede Menge Auflagen die es zu erfüllen gillt… Bafin und so weiter……\

    Fünfstellige numerische PIN. Nix alphanumerisch oder so. Das nennst Du gut aufgestellt bei Onlinebanking?

  28. Ich bin zwar bei der VB, aber auch dort gibt es nur einen fünfstelligen PIN zum Login aufs Konto.

    Dazu kam beim Einrichten noch ein dermaßen bescheuertes(=leicht herleitbar) „Erst-Login-PW“ (das auch nicht den Eindruck erweckte, es werde individuell verteilt), das gleich sämtliches Vertrauen in Onlinebanking dahin war bei mir.

    Ich finde das haarsträubend, mittlerweile haben die meisten Kleinstforen höhere Hürden, wenn es um Registrierung und Logins geht und einige Banken erwecken den Eindruck, man bräuchte nur eine Kontonummer und etwas Rateglück. oO

  29. @ Kain Aerger, 51

    Aber beim Online-banking wird in der REgel spätestens nach fünf Fehlversuchen gesperrt.

    D.H. bei einer fünfstelligen Pin hast du bei 5 Versuchen eine Chance von eins zu 20000 richtig zu raten. Und dann hast Du noch keine TAN, kannst also nur die Daten einsehen.

    Das finde ich persönlich jetzt nicht so dramatisch, ehrlich gesagt.

  30. da muss ich dem Johannes mal Recht geben… Bei 5 Fehleingaben ist der Drops gelutscht.
    Beim Geldautomaten beschwerst Du Dich wahrscheinlich auch dass es nur 4 Zahlen sind oder was?

  31. @Johannes

    Ähm also ich hab wenig Interesse daran, dass irgendjemand einfach mal so auf mein Konto guckt und sich ansieht, was da so läuft.

    Und außerdem – meine Erfahrung – neigen viele Menschen gerade bei numerischen PINs dazu, sich für möglichst einfache Kombinationen zu entscheiden. Ich möcht gar nicht wissen, wieviele Leute sich glatt für „12345“ entscheiden, dicht gefolgt von Geburtstagen und Telefonnummern.
    Und der Geldautomat-PIN kann immerhin nicht frei ausgesucht werden.

  32. Ist übrigens auch nen netter Angriffs-Vektor, selbst wenn die PIN weit mehr als 5 Stellen hat (Commerzbank z.B.). Da das Online-Banking bei mehrmaliger Falscheingabe gesperrt wird, ist so ein Ausprobieren mehrerer PINs bei verschiedenen fremden Konten mit dem Ziel der PIN-Sperre eigentlich schon sowas wie ein DoS. Die Konto-Inhaber dürfen dann nämlich erstmal ne neue PIN beantragen – was ein paar Tage dauert.
    Ich halte das für ne böse Sache und nicht optimal gelöst. Da sollten die Banken nochmal drüber nachdenken.

    Am Automaten kann man das nur in Besitz der Karte umsetzen, ist also nicht direkt vergleichbar.

  33. @Mithos: gebe Dir recht, dass es nicht direkt vergleichbar ist.
    Das war ja auch mein ursprünglicher Punkt: Sparkassen Verlag nicht gleichbedeutend mit Sparkassen.
    Thema DoS: ziemlich zäh, oder? Würd ich jetzt nicht so gefährlich einschätzen.
    Meiner Ansicht nach liegt das höchste Gefährdungspotential beim User. „Bitte geben Sie nun Ihren Anmeldenamen, die PIN und 30 TANs ein“. JA KLAR, kein Thema…
    Und das passiert nicht nur einmal am Tach…

  34. achja…bevor ich es vergesse: es gibt/gab auch standardpasswörter bei aol/alice .ok,kein problem im prinzip…wenn die kunden es ändern würden!!!?!

    da kann mannnic h nur rechnungen sehen ,sondern auch alles andere ;)

  35. Hallo,
    bereitwillig und ohne gesundes Misstrauen wird hier aus dem Fehler einer Firma, die Hauptsächlich die Sparkassen als Kunden hat, auf die IT-Kompetenz der Sparkassen geschlossen.
    Diese reflexartigen Kommentare bringen doch eigentlich nichts. Ich kann über „meine“ Sparkasse nur sagen:
    – freundlich
    – kompetent (fachlich und technisch)
    – sympatisch (immer auch personenabhängig wie in jeder Firma)

    Erstens
    Nur weil der DSV unfähig ist, lässt das keinen Rückschluss auf die Sparkassen zu. Es sei denn ich bin ebenfalls unfähig, nur weil ich mit der Bahn fahre oder die Post meine analogen Briefe transportiert.

    Zweitens
    Nicht ohne Grund wirbt der DSV mit der Sparkasse, weil man (ob man es zugibt oder nicht) mit dem Namen Vertrauen und Zuverlässigkeit verbindet.

    So, das war mein Senf zu dem Thema von heute.
    Jetzt muss ich hier aufhören und ein bischen online banken.

    Freundliche Grüße
    Christian

  36. @Christian, 60: Ich möchte nochmal auf meinen Kommentar weiter oben hinweisen. Der, in dem ich schreibe, wie mich meine Sparkasse in einer „Datenschutzerklärung“ dazu auffordert, in die Aufhebung des Bankgeheimnisses gegenüber ihren Kooperationspartnern einzuwilligen.

    Zweck der Übung: man möchte mir Renten- und andere Finanzmarkt-Produkte der Partner andrehen.

    Die Sparkasse ist auch nur eine Bank und macht, was alle Banken heutzutage machen. Deswegen sind auch einige Landesbanken (zentrales Institut der Sparkassen eines Landes) so Erfolgreich im Ramschen während der Krise gewesen.

  37. Nur nochmal zur PIN weil das hier irgendwie nicht mehr aufhört.

    Ja sie ist fünfstellig, aber sie ist auch alphanumerisch (glaube incl. Sonderzeichen) und unterscheidet Groß- und Kleinschreibung, nach drei Versuchen ist Schluss und eine neue PIN gibt es nur gegen Unterschrift oder persönliche Bekanntmachung.

    Wo ist da jetzt nochmal das Sicherheitsproblem?

    Kein böser Bube würde aktuell irgendein RZ einer Bank angreifen, weil reichlich sinnlos. Aber vieleicht sollten wir mal von der Sicherheit und dem Bewusstsein der Kunden reden …

  38. @Mithos
    Na klar wollen sie Dir die Produkte der Partner „andrehen“. Was erwartest Du denn von Deinem Finanzdienstleister? Ohne den Wisch könnten sie nichtmal Deine Bausparrate an die Bausparkasse weiterleiten. Alle Banken arbeiten mit solchen spezialisierten Dienstleistern …

    Die Sache mit den Landesbanken sollte mal bitte von den Kassen getrennt bleiben. Denen entzog die EU und der Bund eine wichtige Daseinsberechtigung und sie mussten anders ihr Geld für die Landesfürsten verdienen. So entstanden dann die Spekulationsaktionen dieser Helden … das hatte nix mit den Kassen zu tun. Die waren zusammen mit den Genossen die einzigen die keinen Cent aus Steuergeldern nach dem Crash brauchten, aber von Tante Angela mit den Zockern (Commerzbank und Konsorten) gleichgestellt wurden … „Jedes Konto ist abgesichert“ … sorry aber ich bekomm sonen Hals wenn ich sowas lese -.-

  39. @Andre: Na, wenn du es normal findest, dafür das Bankgeheimnis aufzuheben, bitte. Ich finde sowas jedenfalls für eine Sparkasse nicht in Ordnung. Die Postbank hat für etwas ähnliches neulich fürchterlich auf den Deckel bekommen, weil sie nicht gefragt hatte. Aber die wussten wahrscheinlich schon, warum sie besser gar nicht erst fragen.
    Opfere Bankgeheimnis für Werbe-Angebote: Ja oder Nein?

    Der Fisch stink vom Kopf her, heisst es. Wenn ich dann auch an der Schwanzflosse solchen Umgang mit Datenschutz sehe, ziehe ich halt meine Schlüsse.

  40. also so langsam wird es langweilig…

    Markus bzw. das Netzpolitik.org team sollte einen Lückentext zur Verfügung stellen. Damit die ganzen betroffenen Firmen (und da werden bestimmt noch einige kommen) nur noch den Namen und das Datum ändern müssen. :-D

  41. @Mithos
    Da geht es im Zweifel doch nicht um Werbeangebote … Wenn Du zum Beispiel eine kombinierte Baufinanzierung von der Bausparkasse und Deiner Hausbank willst … wie soll das denn funktionieren wenn die beiden nicht über Deine Finanzen miteinander reden dürfen? Oder die ganzheitliche Beratung die sich um Absicherung und Sparen usw. dreht, die funktioniert auch nur wenn alle zusammenarbeiten können … Nicht immer gleich das schlechte sehen.

  42. Wirklich sehr ärgerlich diese Panne beim DSV, der den Sparkassen eigentlich nur Produkte zur Verfügung stellt die technisch weit entfernt sind von Bankkonten und ähnlichem.

    Da die Sparkassen-Organisation aber gegenüber dem Kunden möglichst einheitlich auftritt, muss man das nun auslöffeln. Aber die Diskussion im die Sicherheit an Bankautomaten und Online-Banking gibts ja schon ewig, das ist ja nichts neues. Und meines wissens wurde noch nie ein Online-Banking-Zugang einer deutschen Bank geknackt (gephishte Daten zählen hier ja nicht).

  43. @Mithos: Was hast Du eigentlich die ganze Zeit mit dieser Einwilligungserklärung zur Datenübermittlung? Du wurdest doch gefragt ob Du dem zustimmen möchtest, sogar mit deutlichem Text und Nennung der Datenempfänger. Wo liegt denn nun das Problem?

    Du wurdest weder zur Unterschrift gezwungen noch genötigt.

    Du kannst doch locker „Nein“ sagen und nicht unterschreiben. Andere Menschen sind vielleicht im Rahmen der Beratung damit einverstanden und stimmen dem zu… und? Das hat doch bei so einem Verfahren jeder selbst in der Hand und kann selbst über die Verwendung der Daten entscheiden. Das ist eines der Grundprinzipien des Datenschutzes in Deutschland.

  44. Vierstellig? Die Kontonummer der Verwaltung meiner Heimatstadt bei der örtlichen Sparkasse (immerhin mehr als 600 Angestellte) ist zweistellig.

  45. @68: Naja, so einfach ist das nicht. Oft is es leider so, dass Kunden den Firmen einen Vertrauensvorschuss geben oder schlichtweg zu faul sind – und unterschreiben einfach. Da sprech ich noch nichtmal von den oft umständlichen Formulierungen. Und ich bin der Meinung, dass solche Fallen nicht sein dürfen.

  46. @Tom: Ok, wenn heute jemand naiv genug ist, eine Seite, auf der „Einwilligung zum Datenschutz“ prangt einfach zu unterschreiben weil er zu faul ist, kann man ihm auch nicht helfen. Ich glaube auch nicht, dass es Sinn und Zweck sein kann, die faulen vor ihrer Faulheit zu schützen. Ob es eine „Falle“ ist kann ich nicht beurteilen. Soweit ich weiss ist der Text jedoch deutlich hervorgehoben oder sogar auf einem eigenen, separaten Blatt abgedruckt. Verarbeitungszweck und Empfänger der Daten gehen eindeutig daraus hervor.

    Die Sparkassenorganisation besteht eben aus vielen Einzelunternehmen und das BDSG kennt kein Konzernprivileg. Was kann man mehr tun als eine Einwilligungserklärung einholen??? *DIE* Lösung, die alle gut finden, scheint es wie so oft nicht zu geben!

  47. @Andre Schönfuß

    > Die erste Hinweise ala da war schon mal ein
    > Sicherheitsleck vor Jahren in einer mySQL-
    > config sind genau die Sachen die dann
    > losgehen. Sinnlos, nicht zielführend
    > Hauptsache ich hab was gesagt … :-(.

    Stimmt schon irgendwo, das Statement. Ist aber selber gemacht. Viele Unternehmen, auf die man jetzt so richtig kräftig losprügelt, wenn sich die Gelegenheit bietet, hatten es über Jahre verpennt, ein besseres Image aufzubauen. Da stand halt eben die Eigenkapitalrendite im Vordergrund und nicht der kleine Kunde.

    Das war damals auch sinnlos und nicht zielführend…doch der Konzernvorstand hat damals eben auch den Mund aufgemacht, Motto „Hauptsache, ich habe etwas gesagt…und die Bilanz stimmt“.

    Wenn jetzt der Image-Schaden die falschen trifft,

    > Nur sind darunter jede Menge rechtlich
    > eigenständige Unternehmen die manchmal eben
    > eigenständig Dinge tun.

    ist das im konkreten Fall sehr bedauerlich.

    Nur: Man kann das weiterspinnen und sich mal fragen, welche effizienzorientierten Konzernstrukturoptimierer sich denn diese rechtlich eigenständigen Strukturen (mit allen schönen Vorteilen handelsrechtlicher Natur) ausgedacht haben.

    Ich finde das Datenschutz-Bashing, das jetzt stellenweise losgeht, auch peinlich. Aber offenbar war es sehr notwendig, denn man hat die Kritiker eben einfach nicht ernstgenommen.

    Den „Image Schaden“ … den würde ich jetzt einfach mal als Kollateralschaden betrachten und gut ist es. Und schließlich: Ist doch alles eh nur Peanuts.

    Merken Sie was: Wenn man auf der Seite der Betroffenen ist, dann findet man diese Wörter wie „Kollateralschaden“ und „Peanuts“ gar nicht mehr so gut. Nur wenn es gerade der eigene Chef gesagt haben sollte, fehlt einem halt das Rückgrat des Protests…

  48. Ich kann den Betroffenen nur empfehlen, direkt über die Starmoney internet-Seite zu kaufen, da hier ein externes Shop-System eines e-commerce Unternehmens genutzt wird, das mir doch um einiges sicherer erscheint. Zumindest kann man hier mit der Bestellnummer nur seine eigenen Daten aufrufen :-)

  49. @73 Kommentator
    >Nur: Man kann das weiterspinnen und sich mal fragen, welche effizienzorientierten Konzernstrukturoptimierer sich denn diese rechtlich eigenständigen Strukturen (mit allen schönen Vorteilen handelsrechtlicher Natur) ausgedacht haben.<

    Das war der gute Herr Bismark vor über 200 Jahren ;-) …

  50. eines der standard-passwörrter ist übrigens „tomate“ *gesichtspalme* bei alice/aol,wenn man sein passwort über hotline ändert….wenn man also mal n „paar“ der nicks durchprobiert,wird man garantiert jemanden finden, der sein passwort nich geändert hat

    bin da nich so versiert..aber bitte mal auf diesem wege : leute dioe ahnung davon haben das mal zu testen und dem markus die ergebnisse zu schicken

    mfg

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.