[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Deutsche Bank



Hallo Stefan,
Vielen Dank fuer die Weiterleitung der Antwort. Allerding 
muss ich einiges davon noch kommentieren:

[SK>BB> Sicherheitsueberlegung Deutsche Bank]
[SK> Quote : Antwort der DB-Hotline] 
> Allerdings bieten wir direkt im Internet einen
> Mail-Button an, eine einfache E-Mail oder ein Anruf bei unserer Hotline unter
> 01805-224200 (übrigens kostet diese Nummer 4 Einheiten pro Minute und ist
> daduch BILLIGER als ein Ferngespräch) hätte ihn sofort zum richtigen
> Ansprechpartner gebracht. 

Der gute Herr hat meine Mail nicht richtig gelesen :(
Ich _habe_ die Hotline angerufen, aber die Mitarbeiter dort
konnten mir nicht weiterhelfen !

> Sicher ist nicht jeder Mitarbeiter der Deutschen Bang
> AG (zusammen ca. 60.000) ein Experte im Internet, aber aus diesem Grund gibt es
> ja auch uns, die in solchen Fragen gerne Antworten liefern.

Das habe ich auch nicht unterstellt. Hier hat Er meine Mail wieder
nicht richtig gelesen ! Ein Mitarbeiter der DB-Zentrale 
(der selbstverstaendlichnichts von diesen Sicherheitseinrichtungen
wissen
muss...) hat freundlicherweise versucht, einen zustaendigen Mitarbeiter
ausfindig zu machen. Leider hatte er trotz mehrerer Telefonate mit den
im internen Telefonbuch angegebenen "zustaendigen" Abteilungen keinen
Erfolg.

> Sie sollten allerdings wirklich
> Browser ausschlißlich direkt von den Browserherstellern beziehen. 

> Ein Original
> Internet-Explorer von der Original Windows-CD ist wohl als sicher anzusehen.

In Anbetracht der MSIE Sichereitsloecher waere das noch zu pruefen ...
Frage: Waere es moeglich, die Certifikate auf dem Client durch ein
aggressives 
ActiveX Control zu manipulieren ?  

> DNS-Spoofing können Sie durch eine ganz einfache Methode umgehen: greifen Sie
> nicht über eine URL und einen DNS auf unser Banking zu, sondern direkt auf
> unsere IP-Adresse 193.150.167.3. Diese können Sie auch in Ihrer HOST-Datei
> eintragen um ganz sicher zu gehen.

Es waere schoen, wenn die Anwender solche Tips schon beim Einrichten
ihrer
Software oder beim Einstieg ins Onlinebanking bekaemen. Ich wuerde
vermuten,
dass 99,9 % Der Nutzer die in der Anleitung angegebene Adresse
(banking.deutsche-bank.de)
benutzen, da die IP-Adr. _nicht_ in der Anleitung auftaucht.

> Zur Frage des Fingerprints: jeder Mitarbeiter unserer Hotline kann Ihnen diesen
> jederzeit nennen, er lautet: 15:D5:2A:1B:87:BF:CD:0E:9F:C0:19:CE:AC:97:3B:8B.
> Bei Bedarf können wir diesen auch noch telefonisch bestätigen.

Diese Aussage ist definitiv falsch. Ich habe es _versucht_ !
Auf die Schriftliche Anfrage mit dem gefaelschten Schluessel kam als
Antwort:
> Sehr geehrter Herr Buerger,
>Ihr Schreiben w/Online-banking/RSA habe ichmit heutiger Post bekommen.
>Leider kann ich Ihnen in dieser Angelegenheit nicht weiterhelfen.
>[...]
Dann hat er den Brief ofenbar weitergeleitet, denn die zustaendige
Abteilung
hatte ihn ja hinterher wohl gefunden (Ich beschrieb dies bereits in
meiner 1. Mail).
Offenbar wurde der Brief jedoch dort gar nicht richtig gelesen, denn die
Faelschung blieb unerkannt, obwohl weder ID noch Fingerprint stimmten :(
Dann habe ich mich an die Hotline gewandt:
Bei der Hotline konnte niemand etwas mit diesem Begriff (auch nach
Erklaerung)
anfangen (!!)

> Alles in allem kann man also davon ausgehen, daß unser Internet-Angebot als
> sicher bezeichnet werden kann. Derzeit geht anerkanntermaßen ein deutlich
> höheres Risiko von Scheckkartenzahlungen oder Kreditkartenzahlungen aus. Wissen
> Sie bei jeder Zahlung im Restaurant, was der Ober mit Ihrer Karte hinter dem
> Tresen macht? Aber diese Thema steht halt nicht so in der Öffentlichkeit wie
> das Internet-Banking.

Das Thema ist genauso wichtig, stand hier aber nicht zur Debatte :( 
Ich kann die Sicherheit eines Systems doch nicht dadurch begruenden,
dass
ein anerkannt _unsicheres_ Verfahren schlechter da steht ...
*flame*
Wie wuerden die wohl reagieren, wenn eine Tresorfabrik ihren Tresor mit
einer Holztuer ausstattet, mit der Begruendung: Seien Sie doch froh - 
sicherer als ein Porzellanschwein ist das allemal !
*/flame*

Alles in allem finde ich es gut, dass jetzt immerhin eine Stellungnahme
da ist. Ich warte wie gesagt bis Heute auf eine Antwort.

Ciao, Bjoern
 
-- 
----------------------------------------------------
Bjoern Buerger - Student of electrical engineering
Technical University Braunschweig  / Germany
contact: bbuerger@tu-bs.de
w3-site: bbs.home.pages.de
PGP-Key  ID: 0xF4B3CF51 wwwkeys.nl.pgp.net
----------------------------------------------------