heute durfte ich mit dem Kundendienst der Oldenburgischen Landesbank telefonieren, nachdem ein Fehler mich vom Onlinebanking ausgesperrt hat. Die Kundenbetreuerin fragte im Gespräch nicht nur meine Kontonummer und den Loginnamen für das Onlinebanking ab (das kann ich noch nachvollziehen), sondern auch offensichtlich zufällig ausgewählte Zeichen meines Passworts! Also beispielsweise „Nennen Sie mir das Zeichen an 5. Stelle“. Sie hat insgesamt drei Zeichen geprüft.
Ich empfand es zum einen mega-gruselig, dass jemand nach Details zu einem Passwort fragt, obwohl üblicherweise Banken ihren Kunden einschärfen, niemals das Passwort herauszugeben. Da ich die Telefonnummer, bei der ich angerufen habe, doppelt verifiziert habe, gehe ich davon aus, dass ich nicht bei Scammern gelandet bin.
Zum anderen bedeutet die Überprüfbarkeit einzelner Zeichen des Passworts doch wohl, dass das Passwort ungehashed, ungesalzen und generell gar nicht oder nur symmetrisch verschlüsselt in den Systemen der Bank gespeichert wird. Ich brauche hier sicher niemandem zu erzählen, dass das gegen die elementarsten Regeln der IT-Sicherheit verstößt.
Frage 1: Dürfen Banken Passwörter ungesichert speichern? Kann ich mir eigentlich nicht vorstellen.
Frage 2: An wen kann ich eine Beschwerde richten? Datenschutzbeauftragter oder Bankenaufsicht?
Korrigiere mich, aber ich kann dem nur entnehmen das sie schlimmstenfalls (!) Zugriff auf dein Passwort haben. Trotzdem kann es verschlüsselt gespeichert sein, das eine schließt das andere ja nicht aus.
Nirmalerweise sollten Passwörter immer gehashed und gesaltet und nicht im Klartext gespeichert sein. Es muss ja nur ein übermitteltes Passwort neu gehashed und dann verglichen werden.
Wenn die Bank einzelne Positionen vergleichen kann, dann ist steht das Passwort dem System im Klartext zur Verfügung. Ob es verschlüsselt ist oder nicht ist unerheblich.
Ich würde den Datenschutzbeauftragten der Bank anschrieben und darauf hinweisen, dass die Speicherung der Passwörter nicht Stand der Technik entspricht. Im Nachgang den Landesdatenschutzbeauftragten und danach ggf. die Bank wechseln.
Die wahrscheinlichste Variante ist, dass das Passwort symmetrisch verschlüsselt im Backend gespeichert wird. Die Bank könnte dann bei Bedarf mit dem Master-Key das Passwort entschlüsseln und einzelne Zeichen auslesen. Ein sicherer Hash (z.B. mit bcrypt) ist nicht umkehrbar und kann einzelne Zeichen nicht positionell bestimmen. Es gäbe zwar noch andere Verfahren, die einzelne Zeichen aus einem Passwort extrahieren könnten, diese wären aber wesentlich komplexer und auch nicht unproblematisch.
Insgesamt halte ich das Verfahren für bedenklich, allein schon aufgrund der Tatsache, dass der Operator der Bank dann eine Teilmenge deines Passwortes kennt. Bei entsprechend vielen Abfragen und einem kurzen Passwort wäre irgendwann das ganze Passwort einmal abgefragt. Es sei denn, es handelt sich um ein spezielles Servicepasswort, das nur bei Supportanfragen abgefragt wird. Das eigentliche Passwort wäre davon nicht betroffen und könnte sicher gespeichert werden. Das würde dann Sinn machen. Aber dann hätte man dich auch explizit nach diesem Servicepasswort fragen müssen und es wäre schon ein großer Zufall, wenn die abgefragten Stellen bei beiden Passwörtern gleich wären. Es sei denn, du hast pragmatisch beide Male dasselbe Passwort verwendet.
In 2025 kann ich mir auch nicht vorstellen, dass noch irgendeine Bank Passwörter im Klartext speichert, oder so speichert, dass sie nach einzelnen Stellen im Passwort im Klartext fragen kann…
Welche Bank soll das gewesen sein?
Bezüglich der Vermutungen, dass es sich wohl um Betrüger handelte: Was hätte ein Betrüger davon, 3 Zeichen eines Passworts zu erfahren (das hoffentlich einige Stellen mehr besitzt)? Würde der Betrüger nicht versuchen, das komplette Passwort zu erhalten?
Demnach dürfte die IT-Sicherheit Sache der Bankenaufsicht, also der BaFin sein.
Zur OLB im Speziellen ist noch Folgendes zu sagen: Die Bank gehört seit ein paar Jahren Finanzinvestoren. Sie hatte nach einigen Umbauten eigentlich vor, an die Börse zu gehen. Dann haben sich die Eigentümer entschieden, die OLB an das Spitzeninstitut der französischen Genossenschaftsbanken zu verkaufen. Dem gehört bereits die Targo-Bank. Ob und wenn ja wie die OLB und die Targo-Bank miteinander verschmolzen werden, scheint derzeit völlig offen. Wenn man bedenkt, dass derartige Fusionen in der Vergangenheit mit sehr viel Chaos verbunden waren (beispielsweise die Integration der Postbank in die Deutsche Bank), kann man bei der OLB durchaus in der nächsten Zeit mit Chaos auf allen ebenen rechnen.
Es muss kein Betrüger sein. Ich war Kunde bei der Comdirect. Dort war es bis vor paar (?) Jahren auch normal, dass man am Telefon 2 oder 3 (falls ich mich richtig an die Anzahl erinnere; es war aber noch nicht das ganze Passwort) Teile des Passworts nennen musste. Ich weiß nicht mehr, ob man das einem Roboter in der Warteschleife oder einem Mitarbeiter sagen musste, um sich zu legitimieren, aber ich fand es damals schon sehr suspekt.
Danach haben sie es so umgestellt, dass man einem Roboter zu Beginn der Warteschleife, seine Zugangsdaten nennen musste (Login-Nummer plus Passwort). Das über die Tastatur oder gesprochen. Dann hat der Mitarbeiter auch einen direkt mit Namen angesprochen und hatte Zugang, was normal und üblich sein dürfte, um überhaupt arbeiten zu können.
Allerdings darf oder durfte man das Passwort nur numerisch mit 6 Stellen (!) belegen. Vermutlich, damit es bei der Abfrage möglich ist. Gesichert wird das gesamte Login durch eine 2FA, die ja bei Banken verpflichtend ist.
Die Comdirect hat auch ein eigenes Forum. Wenn man nach den von mir geschilderten Dingen bei einer Suchmaschine sucht, findet man dazu paar Einträge des Forums dort.
Ansonsten hörte (!) ich, dass die Consorsbank es ähnlich handhabt. Ob es noch der Fall ist oder gar stimmt, kann ich aber persönlich nicht verifizieren.
Es muss also kein Betrüger sein. Ich verstehe aber die Vermutung, da man immer mitbekommt, man soll Zugangsdaten nie nennen, was auch absolut richtig ist! Nur handeln dann Banken (!) ganz anders und man wundert sich, obwohl man auf dem Gebiet ganz ok gebildet ist
Das Gleiche mit E-Mails: Niemand soll auf Links oder Buttons klicken. Aber Unternehmen bieten das immer und immer wieder an. Als wüsste die rechte Hand nicht, was die linke Hand macht.
Das schlimme dabei ist, wie soll man so seinen Eltern oder Großeltern so etwas vermitteln? Mit zig Ausnahmen und Sonderregeln. Da wird man doch verrückt!
Programmierer, die ein wenig Arbeit in die Sicherheit legen oder dazu von Testern, Architekten oder Aufsichtsgremien (Bankaufsicht, Wirtschaftsprüfer, etc.) dazu gezwungen werden, speichern niemals nie nicht irgendwelche Passwörter als Klartext ab. Niemals. Selbst den unbedarftesten „Jungprogrammierern“ würde sowas auffallen und die würden sich dann eine „geniale“ Lösung einfallen lassen (z.B. Umwandlung in Base64 ;-)).
Es kann Systeme geben, wo man eine Speicherung des Passworts benötigt, weil das Passwort für andere „Dinge“ benötigt wird. Was man als „Designfehler“ bezeichnen würde, bezeichnen die Banken dann als „historisch gewachsen“.
Bei neueren Systemen speichert man nie ein vom Kunden gesetztes Passwort, sondern nur die Prüfsumme dafür, die im besten Fall gegen „Rückwärtsrechnen“ gesichert ist. Beim Anmelden am Onlinebanking wird dementsprechend nicht geprüft, ob die Passwörter übereinstimmen, sondern ob die gespeicherte Prüfsumme mit der übereinstimmt, die sich aus dem eingegebenen Passwort errechnet. Rein mathematisch-theoretisch führen unendlich viele Kombinationen zu der gleichen Prüfsumme. Allerdings ist das „Ausrechnen“ der richtigen Zeichenkombination, die zur gleichen Prüfsumme führt, bei guten Algorithmen aktuell nicht möglich. Oder zumindest unwahrscheinlich, weil die Rechenkapazität nicht ausreicht.
Bei einer Abfrage z.B. nach 3 Zeichen an beliebiger Stelle kann ich mir eine halbwegs sichere Möglichkeit vorstellen, damit die gespeicherten „Zeichen“ nicht ausgespäht werden können, wenn jemand Zugriff auf die Datenbank hat:
Wenn der Kunde sein Passwort am Anfang zur Änderung eingibt, muss er eine Mindestanzahl Zeichen eingeben, z.B. 17 Zeichen. Davon wählt das Programm dann per Zufall 3 Stellen aus und erstellt von diesen 3 Stellen im Passwort ebenfalls eine Prüfsumme. Die wird, zusammen mit der Nummer der Stelle des Zeichens, gespeichert. Also weder Passwort noch die drei zu prüfenden Ziffern selbst.
Bei der Telefonabfrage bekommt ein Hotlinemitarbeiter angezeigt, welche Stellen abzufragen sind. Die fragt er ab, gibt sie ein und bekommt am Ende ein „OK“, wenn die Prüfsumme davon der entspricht, die vorher gespeichert wurde. Eine Prüfsumme über alle 3 Zeichen bewirkt auch, dass keiner genau sagen kann, welches Zeichen falsch angegeben wurde.
Kann man so machen.
Einfacher wäre es jedoch, wenn eine Software automatisch ein „Hotlinepasswort“ erstellt, was sowieso beide Seiten wissen müssen. Aber selbst das sollte verschlüsselt gespeichert werden, um z.B. Datenbankadmins daran zu hindern, großflächig Daten abzusaugen.
Wann wurde in Deutschland über BTX das erste elektronische Banking eingeführt? Seitdem nutze ich diese online Möglichkeiten bei diversen Banken und Brokern, in verschiedenen Ländern…
Ich kann mich nicht daran erinnern, dass ich jemals nach Teilen meines Passwortes gefragt wurde.
Sollte das jemals vorkommen, wechsle ich sofort diese Bank.
Vielen Dank für eure Rückmeldungen. Die Webseite der OLB und die dort angegebene Telefonnummer sind definitiv authentisch. Ich habe den verwendeten URL schon bei der Kontoanlage vor Jahren in meiner Keepass-DB gespeichert und zudem das SSL-Zertifikat geprüft. Die bei dem Anruf angeforderten Dokumente lagen heute im Briefkasten und mein Geld war auch noch vollständig auf dem Konto. In den kommenden Tagen werde ich den Datenschutzbeauftragten der Bank bezüglich Klartextpasswort anschreiben und um eine Klarstellung bitten; das Ergebnis teile ich euch dann mit.
Die Bank wechseln wäre meine höchste Priorität gewesen. Das ist höchst alarmierend, denn wer solche Sicherheitsstandards hat, spielt mit den Identitäten seiner Kunden. Ich hätte zu viel Angst, dass meine Identität leicht geklaut werden könnte und ich mit Nachdruck und schriftlicher Bestätigung eine Löschung all meiner Daten beantragen würde.
Ich bin mega gespannt wie das ausgeht. Persönlich habe ich eher schlechte Erfahrungen mit Datenschutzbeauftragten, weil diese sich nicht mit Datenschutz auskennen Erklärt auch die Zustände in manch Einrichtung…
In den kommenden Tagen werde ich den Datenschutzbeauftragten der Bank bezüglich Klartextpasswort anschreiben und um eine Klarstellung bitten; das Ergebnis teile ich euch dann mit.
Erklärt auch die Zustände in manch Einrichtung…