Sicherheitslücken bei der Openbank

Onlinebanking Sicherheitslücken bei der Openbank

Update: 28.02.2020
Horst Biallo
von Horst Biallo
Update: 28.02.2020
Auf einen Blick
  • Die spanische Direktbank Openbank bietet hierzulande ein kostenloses Girokonto an. Doch die Prozesse laufen alles andere als rund.

  • Der Biallo-Test zeigt: Das Onlinebanking weist einige Sicherheitslücken auf.
Artikelbewertung
Teilen
Schrift

Mit großem Werbeaufwand startete kürzlich die zur Santander-Gruppe gehörende Openbank auf dem deutschen Markt ihr kostenloses Girokonto – fast zeitgleich mit der Ankündigung der ING, ab dem 1. Mai 2020 das kostenlose Girokonto nur Kunden mit einem monatlichen Geldeingang von mindestens 700 Euro anzubieten. Doch die Technik der Spanier lässt etwas zu wünschen übrig.

Sicherheitslücke im Onlinebanking

Nachdem wir ein Girokonto bei der Openbank eröffnet haben, stellen wir nun  Sicherheitslücken fest: Das Onlinebanking schließt nicht automatisch, selbst dann nicht, wenn man stundenlang inaktiv ist.

  • Hinweis der Redaktion: Der Beitrag bezieht sich auf den Stand vom 28. Februar 2020. Die Openbank hat nach dem Biallo-Bericht nachgebessert und die Sicherheitslücke behoben. Kunden werden nun auch beim Firefox-Browser nach fünf Minuten Inaktivität automatisch ausgeloggt. 

Das bedeutet in der Praxis: Erledigt ein Kunde seine Bankgeschäfte beispielsweise in einem Internetcafe und vergisst die Seite zu schließen, kann der nächste Cafe-Besucher zumindest die finanziellen Verhältnisse des Kunden auskundschaften. Damit macht die Bank ihrem Namen als "offene Bank" alle Ehre. Denn laut der zweiten europäischen Zahlungsdiensterichtlinie (PSD2), müsste sich die Anwendung automatisch nach fünf Minuten Inaktivität des Kunden schließen. Das ist die sogenannte Time-Out-Funktion. Auf die geltenden PSD2-Bestimmungen weist die Direktbank übrigens auf ihrer Internetseite hin, ohne sich selbst daran zu halten.

Wir haben die Pressestelle in Madrid auf die Sicherheitslücke hingewiesen und die Verantwortlichen gebeten, einen entsprechenden Sicherheitshinweis auf der Internetseite zu platzieren. 

  • Biallo-Tipp: Openbank-Kunden sollten stets darauf achten, dass sie sich selbst vom Onlinebanking ausloggen. Vor allem, wenn sie einen öffentlich zugänglichen Computer benutzen.
3
 
Anbieter
Monatspreis
Dispozinsen
Jahrespreis
Girocard
 
1.
0,00
6,74%
0,00
2.
0,00
6,99%
0,00
3.
 0,00
7,17%
0,00

Ohne TAN lässt sich das Konto nicht leerräumen

Fairerweise muss man allerdings festhalten: Wirklich viel Schaden kann nicht entstehen, denn ohne die entsprechende SMS-TAN, lassen sich keine Transaktionen durchführen.

Denn selbst, wenn eine fremde Person eine TAN-Nummer anfordert, landet diese auf dem Smartphone des Kontoinhabers, der dann relativ schnell merken dürfte, dass etwas nicht stimmt.

Außerdem ist nur das Banking per Desktop-Computer von der Sicherheitslücke betroffen, denn bei der dazugehörigen Banking-App funktioniert das sogenannte Time-Out einwandfrei. Kunden werden automatisch nach drei Minuten Inaktivität ausgeloggt.

Lesen Sie auch: IT-Experten: "Die TAN-Liste darf ruhigen Gewissens in die Rente"

So funktioniert das auch bei allen deutschen Geldhäusern. Bei der Deutschen Bank schließt sich das Internetbanking und deren App nach rund drei Minuten. Das Gleiche gilt für die ING oder die Netbank. Bei der DKB dauert es fünf Minuten, bis sich die Anwendung automatisch deaktiviert.

Mittlerweile hat die Openbank reagiert und bestreitet die Sicherheitslücke. Andrés González von deren Kommunikationsteam sagt: "Das Openbank Online-Banking und die mobile App verwenden einen Authentifizierungstoken mit einer begrenzten Dauer von fünf Minuten. Dadurch werden Kunden automatisch vom Dienst abgemeldet." Die Realität sieht aber anders aus. Diese automatische Abmeldung geschieht zwar, wenn man sich mit dem Internet-Browser Google Chrome bei der Openbank ins Banking einwählt, aber nicht beim Internet-Browser Firefox, der in Deutschland viel populärer ist.

Lesen Sie auch: Die besten Banking-Apps

Es gibt sie noch, die kostenlosen Girokonten

Mit dem Eintritt der Openbank auf dem deutschen Markt hat sich die Anzahl der kostenlosen Girokonten hierzulande auf aktuell 46 Geldhäuser erhöht. Die meisten davon sind PSD- und Direktbanken – aber auch neun Volks- und Raiffeisenbanken. Sieben davon haben sich dem Regionalprinzip verpflichtet, zwei sind auch überregional vertreten: die Raiffeisenbank im Hochtaunus (Meine Bank) und die VR-Bank Bad Salzungen-Schmalkalden.

Neben den 46 kostenlosen Girokonten gibt es auch mehr als 60 Banken, die ein fast kostenloses Girokonto offerieren. Sprich, diese Geldhäuser verzichten auf eine monatliche Kontoführungsgebühr.

Ihre Meinung ist uns wichtig
Horst Biallo
Horst Biallo
Herausgeber und Gründer biallo.de
Jetzt Artikel bewerten
E-Mail an den Autor
Artikel kommentieren
Horst Biallo
Horst Biallo

Jahrgang 1954, studierte Wirtschaft und absolvierte eine Ausbildung zum Wirtschaftsjournalisten bei der Tageszeitung Die Welt. Später machte er sich selbstständig, schrieb für Wirtschaftswoche, Stern und zahlreiche Tageszeitungen. Er ist Autor mehrerer Fachbücher, u.a. "Die geheimen deutschen Weltmeister" und "Die Doktormacher". Im Jahr 1999 gründete er das Verbraucherportal www.biallo.de, vier Jahre später www.geldsparen.de und 2009 www.biallo.at. Horst Biallo ist verheiratet und hat drei Kinder.

E-Mail an den Autor
Artikelbewertung
Teilen
Drucken
Zur Startseite
Horst Biallo
Horst Biallo

Jahrgang 1954, studierte Wirtschaft und absolvierte eine Ausbildung zum Wirtschaftsjournalisten bei der Tageszeitung Die Welt. Später machte er sich selbstständig, schrieb für Wirtschaftswoche, Stern und zahlreiche Tageszeitungen. Er ist Autor mehrerer Fachbücher, u.a. "Die geheimen deutschen Weltmeister" und "Die Doktormacher". Im Jahr 1999 gründete er das Verbraucherportal www.biallo.de, vier Jahre später www.geldsparen.de und 2009 www.biallo.at. Horst Biallo ist verheiratet und hat drei Kinder.

E-Mail an den Autor
Newsletter
Keine News mehr verpassen
Bitte geben Sie eine korrekte E-Mail Adresse ein:
Unsere Datenschutzerklärung finden Sie hier.

Regeln für das Schreiben von Kommentaren:

  1. Kommentieren Sie sachlich und ohne persönliche Angriffe.
  2. Verfassen Sie keine Beiträge mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt und verweisen Sie nicht auf Seiten mit solchem Inhalt.
  3. Stellen Sie weder zu lange Texte noch Bilder ein, außer, wenn es unbedingt nötig ist.
  4. Veröffentlichen Sie keine personenbezogenen Daten Dritter, wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen.
  5. Wenn Sie persönliche Mitteilungen oder Texte anderer Verfasser einstellen oder Kommentare anderweitig veröffentlichen möchten, beachten Sie die Rechte Dritter. Bei einer Verletzung dieser Rechte (z.B. Persönlichkeitsrecht, Urheberrecht, Datenschutz) haften Sie.
  6. Sie haben die Möglichkeit, Ihren Benutzernamen frei zu wählen. Sie sollten aber im eigenen Interesse markenrechtlich geschützte Namen vermeiden.

Quelle: www.datenschutzbeauftragter-info.de