Triviale Sicherheitslücke bei der Openbank? Online-Banking angeblich ohne Timeout

Vorigen September kündigte die Santander den Start ihrer Online-Bank Openbank in Deutschland an – und startete diese vor wenigen Wochen. Nun fand das Portal biallo.de (Website) eine recht triviale Sicherheitslücke: Beim Onlinebanking fehle der Inaktivitäts-Timeout. Damit könnten unberechtigte zum Beispiel in einem Internetcafé auf das Konto zugreifen, nachdem der Kontoinhaber den Computer verlassen habe, ohne sich auszuloggen.

Biallo sei auf eine recht triviale Sicherheitslücke bei der Openbank (Website) gestoßen: Das Onlinebanking (Web) der Neobank schließt nicht automatisch, selbst dann nicht, wenn man stundenlang inaktiv ist.

Erledigt ein Kunde seine Bankgeschäfte beispielsweise in einem Internetcafé und vergisst die Seite zu schließen, kann der nächste Café-Besucher die finanziellen Verhältnisse des Kunden ansehen. Eine Transaktion kann er jedoch nicht auslösen. Unangenehm ist es auf jeden Fall. Zumal die Openbank gerade mit besonderer Security und Security-Features geworben hat.

Kunden sollten deshalb stets darauf achten, dass sie sich selbst vom Onlinebanking ausloggen. Vor allem, wenn sie einen öffentlich zugänglichen Computer benutzen. Von der Sicherheitslücke ist nur das Onlinebanking per Desktop betroffen, nicht aber die Banking-App der Openbank.

Laut der PSD2 müsste sich die Anwendung automatisch nach fünf Minuten Inaktivität des Kunden schließen (Time-Out-Funktion). Die „Timeout-Bestimmung“ ergibt sich aus Art. 4 Abs. 3 Nr. d) der Delegierten Verordnung 2018/389. Demnach darf die „maximale Zeitspanne ohne Aktivität […] nicht mehr als fünf Minuten betragen“. Biallo.de hat Santander bereits auf die Sicherheitslücke hingewiesen und um einen Sicherheitshinweis auf der Internetseite gebeten. Die “Open Bank, S.A., Madrid” ist in Deutschland im Wege des freien Dienstleistungsverkehrs nach § 53b KWG tätig ist. Dabei unterliegt sie der Aufsicht durch die zuständige Aufsichtsbehörde in Spanien, also der Banco de Espana.

Die OpenBank nimmt zu dem Vorwurf wie folgt Stellung:

Die Openbank, welche Teil der Santander-Gruppe ist, wird von der EZB überwacht. Wir sind der Sicherheit und dem Datenschutz unserer Kunden verpflichtet und bieten neben der Einhaltung aller geltenden Sicherheitsvorschriften auch zusätzliche Sicherheitsfunktionen wie einen Passwortmanager, Kartenkontrollen, einen Geräte- und Sitzungsmanager sowie individuelle Sicherheitsanpassung.

Der Anmeldeprozess für Online- und Mobil-Banking entspricht den Anforderungen von PSD2, wobei eine “Starke Kundenauthentifizierung” beim ersten Einloggen mit einem “Einmal-Pass Code” und danach erneut in regelmäßigen Abständen (mindestens alle 90 Tage) erforderlich ist. Nach dem Einloggen hat der Kunde nur Lesezugriff, und es sind zusätzliche Sicherheitsprüfungen erforderlich, um alle Transaktionsvorgänge durchzuführen. Darüber hinaus haben Kunden die Möglichkeit, ihre Sicherheit weiter zu erhöhen, indem sie zusätzliche Maßnahmen für bestimmte Operationen konfigurieren.

Das Online-Banking und die mobile Anwendung von Openbank verwenden einen Authentifizierungstoken mit einer begrenzten Dauer von 5 Minuten. Damit werden Kunden automatisch aus dem Dienst abgemeldet, aber wir bieten auch eine einzigartige Gerätemanagerfunktion an, mit der sich Kunden von ihrer Anwendung und dem Web aus der Ferne abmelden und alle aktiven oder vergangenen Sitzungen und Geräte blockieren können.”

Update 13:30: Auf Nachfrage prüfte biallo.de den aktuellen Zustand erneut und meldet, dass das Problem nun offenbar für den Google-Chrome-Browser behoben sein, aber immer noch im Firefox (Version 73.0.1) auftrete.

aj