1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cloudflare: TLS-Verbindungen ohne…

Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: Spaghetticode 19.09.14 - 21:02

    Ich hätte wohl ein mulmiges Gefühl dabei, wenn ich mitbekommen würde, dass eine Bank nicht mehr auf ihr eigenes Rechenzentrum (von mir aus auch zentral wie bei Sparkasse und Volksbank), sondern auf ein kommerzielles Content Delivery Network wie CloudFlare oder Akamai, möglichst noch mit Sitz des Betreibers in den USA, setzt. Dann brauchen wir auch kein SWIFT-Abkommen mehr, denn die NSA kann gleich direkt die Daten für ihre Datensammlung vom CDN-Anbieter abzapfen. Außerdem haben Hacker dann freie Bahn.

  2. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: hannob (golem.de) 19.09.14 - 23:32

    Ich hab zwar keinen wirklichen Einblick wie die IT-Sicherheit im Bankensektor so abläuft, aber ich vermute mal dass die allerwenigsten Banken - womöglich überhaupt keine - in der Lage sind, ihre IT ohne Hilfe von externen Dienstleistern zu betreiben. Dass diese dabei auch in der Lage sind Daten abzugreifen dürfte in der Natur der Sache liegen.

    Wg. NSA/USA/Swift: Im Artikel ging es ja konkret um eine US-Bank, die bei Cloudflare angefragt hatte. Ob deutsche Banken bei Cloudflare Kunde sind weiß ich nicht, würde es aber eher nicht annehmen.

    Aber ich würde mir da eher um viel profanere Dinge sorgen machen. Der Sicherheitsstandard der meisten Onlinebanking-Angebote ist nicht gerade großartig.

  3. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: justanotherhusky 20.09.14 - 07:38

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ich hab zwar keinen wirklichen Einblick wie die IT-Sicherheit im
    > Bankensektor so abläuft, aber ich vermute mal dass die allerwenigsten
    > Banken - womöglich überhaupt keine - in der Lage sind, ihre IT ohne Hilfe
    > von externen Dienstleistern zu betreiben. Dass diese dabei auch in der Lage
    > sind Daten abzugreifen dürfte in der Natur der Sache liegen.
    >

    Bei der Raiffeisen Bank in Österreich weiß ich es sicher, dass die ihre IT selbst betreiben. Selbst bedeutet in diesem Fall es gibt die Raiffeisen Informatik, ein Tochterunternehmen der Raiffeisen Landesbank Noe-Wien und der Raiffeisen Zentralbank. Auch die Sparkasse (Österreich und Deutschland) betreibt meines Wissens nach ihre Rechenzentren ausschließlich über "eigene" Tochterfirmen.

    http://de.wikipedia.org/wiki/Raiffeisen_Informatik
    http://de.wikipedia.org/wiki/Finanz_Informatik

    IT Outsourcing bei Banken also: Ja, aber doch nur an verbundene/im Besitz stehende Unternehmen.

    Zum Thema Sicherheit von Onlinebanking: Der reine Onlinebanking Zugriff an sich, ist recht sicher, spannend wirds wenn dann externe Schnittstellen hinzugebastelt werden (oft auch gegen die AGB der Banken). Siehe Sofortüberweisung.de, ...

    Auch der Onlinezugang mittels "Bürgerkarte" (http://www.buergerkarte.at/) ist/war sehr unsicher und wurde bereits "gehackt".
    (war damals sogar ein Kollege von meiner Uni: http://diepresse.com/home/techscience/internet/sicherheit/750566/Osterreichische-Burgerkarte-hat-Sicherheitsleck)

  4. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: hannob (golem.de) 20.09.14 - 12:16

    justanotherhusky schrieb:
    --------------------------------------------------------------------------------
    > Bei der Raiffeisen Bank in Österreich weiß ich es sicher, dass die ihre IT
    > selbst betreiben. Selbst bedeutet in diesem Fall es gibt die Raiffeisen
    > Informatik, ein Tochterunternehmen der Raiffeisen Landesbank Noe-Wien und
    > der Raiffeisen Zentralbank. Auch die Sparkasse (Österreich und Deutschland)
    > betreibt meines Wissens nach ihre Rechenzentren ausschließlich über
    > "eigene" Tochterfirmen.

    Dass die eigene Rechenzentren haben ist mir klar, würde aber trotzdem vermuten (?) dass die in vielen Punkten noch von externen Kompetenzen abhängen. Alleine jede eingekaufte Software ist ja ein potentielles Problem.

    > Zum Thema Sicherheit von Onlinebanking: Der reine Onlinebanking Zugriff an
    > sich, ist recht sicher, spannend wirds wenn dann externe Schnittstellen
    > hinzugebastelt werden (oft auch gegen die AGB der Banken). Siehe
    > Sofortüberweisung.de, ...

    Also was ich so üblicherweise kenne: Die Bankwebseite selber samt dem von den meisten Kunden verwendeten Link aufs Onlinebanking ist über HTTP erreichbar, erst das Onlinebanking selber ist HTTPS. D.h. man kann das problemlos via SSL-Stripping angreifen. HSTS kommt fast nie zum Einsatz und von CSP hat sowieso noch nie jemand was gehört. Wenn Leute nach XSS auf Bankwebseiten suchen finden sie regelmäßig was.

    Das ist im Vergleich zu dem was bei manch anderen großen Webseiten der Sicherheitsstandard ist (Github ist so das Paradebeispiel die fast alles richtig machen) eher mager.

  5. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: Oktavian 21.09.14 - 14:37

    > Dass die eigene Rechenzentren haben ist mir klar, würde aber trotzdem
    > vermuten (?) dass die in vielen Punkten noch von externen Kompetenzen
    > abhängen. Alleine jede eingekaufte Software ist ja ein potentielles
    > Problem.

    Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte Software ist ein potentielles Problem, sondern natürlich auch jede Hardware. Was weiß man schon, was die Firmware, der Microcode, die Gatter noch alles tuen, wenn ich mal nicht genau hinschaue?

    Natürlich muss eine Bank fremder Software vertrauen, sie entwickeln ja die Betriebssysteme nicht selber. Sei es Windows, zOS, oder war auch immer sie gerade einsetzen. Und natürlich vertraut man neben auch externen Personen. Nicht nur denen bei den großen IT-Dienstleistern, die ja oft Töchter der Banken sind, sondern auch Partnerfirmen und Freelancern. Das ist das Los einer stark arbeitsteiligen Gesellschaft.

    Es ist schon richtig, unter den Sparkassen gibt es zur Zeit nur zwei, die nicht an der Finanzinformatik hängen. Die den Volksbanken sieht es kaum anders aus. Ich halte das aber eher für einen Sicherheitsgewinn, als wenn jede kleine Klitsche alles selber macht. So wird die IT professioneller betrieben, früher war das doch eher eine große Bastelei.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Hughes Network Systems GmbH, Griesheim
  3. Deutsche Rentenversicherung Bund, Berlin
  4. FLYERALARM Digital GmbH, Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Die Sims 4 für 9,99€, Inselleben für 19,99€, An die Uni! für 19,99€, Vampire für...
  2. (-55%) 4,50€
  3. 13,99€
  4. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

  1. Everspin ST-MRAM: 256-MBit-Chips für Arcade-Automaten und Smart-Meter
    Everspin ST-MRAM
    256-MBit-Chips für Arcade-Automaten und Smart-Meter

    Auf die 1-GBit-Versionen für Datacenter folgen kleinere Modelle für Industrie und Internet der Dinge: Der magnetische Speicher von Everspin hat eine sehr lange Haltbarkeit und benötigt nicht dauerhaft Strom.

  2. Wikileaks: Worum es im Fall Assange nun geht
    Wikileaks
    Worum es im Fall Assange nun geht

    Geheimnisverrat, Leben in der Isolation, Anklage in den USA, Foltervorwürfe: Die Auslieferungsanhörung von Wikileaks-Gründer Julian Assange beginnt. Im Artikel beantworten wir die wichtigsten Fragen.

  3. Zahlungsabwickler: Protest gegen Massenentlassungen bei Paypal Deutschland
    Zahlungsabwickler
    Protest gegen Massenentlassungen bei Paypal Deutschland

    Die Beschäftigten von Paypal Deutschland wollen den Abbau von über 300 Arbeitsplätzen nicht hinnehmen. Die Jobs sollen an andere Standorte oder an externe Partner gehen.


  1. 22:10

  2. 18:08

  3. 18:01

  4. 17:07

  5. 16:18

  6. 15:59

  7. 14:36

  8. 14:14