1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cloudflare: TLS-Verbindungen ohne…

Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: Spaghetticode 19.09.14 - 21:02

    Ich hätte wohl ein mulmiges Gefühl dabei, wenn ich mitbekommen würde, dass eine Bank nicht mehr auf ihr eigenes Rechenzentrum (von mir aus auch zentral wie bei Sparkasse und Volksbank), sondern auf ein kommerzielles Content Delivery Network wie CloudFlare oder Akamai, möglichst noch mit Sitz des Betreibers in den USA, setzt. Dann brauchen wir auch kein SWIFT-Abkommen mehr, denn die NSA kann gleich direkt die Daten für ihre Datensammlung vom CDN-Anbieter abzapfen. Außerdem haben Hacker dann freie Bahn.

  2. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: hannob (golem.de) 19.09.14 - 23:32

    Ich hab zwar keinen wirklichen Einblick wie die IT-Sicherheit im Bankensektor so abläuft, aber ich vermute mal dass die allerwenigsten Banken - womöglich überhaupt keine - in der Lage sind, ihre IT ohne Hilfe von externen Dienstleistern zu betreiben. Dass diese dabei auch in der Lage sind Daten abzugreifen dürfte in der Natur der Sache liegen.

    Wg. NSA/USA/Swift: Im Artikel ging es ja konkret um eine US-Bank, die bei Cloudflare angefragt hatte. Ob deutsche Banken bei Cloudflare Kunde sind weiß ich nicht, würde es aber eher nicht annehmen.

    Aber ich würde mir da eher um viel profanere Dinge sorgen machen. Der Sicherheitsstandard der meisten Onlinebanking-Angebote ist nicht gerade großartig.

  3. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: justanotherhusky 20.09.14 - 07:38

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ich hab zwar keinen wirklichen Einblick wie die IT-Sicherheit im
    > Bankensektor so abläuft, aber ich vermute mal dass die allerwenigsten
    > Banken - womöglich überhaupt keine - in der Lage sind, ihre IT ohne Hilfe
    > von externen Dienstleistern zu betreiben. Dass diese dabei auch in der Lage
    > sind Daten abzugreifen dürfte in der Natur der Sache liegen.
    >

    Bei der Raiffeisen Bank in Österreich weiß ich es sicher, dass die ihre IT selbst betreiben. Selbst bedeutet in diesem Fall es gibt die Raiffeisen Informatik, ein Tochterunternehmen der Raiffeisen Landesbank Noe-Wien und der Raiffeisen Zentralbank. Auch die Sparkasse (Österreich und Deutschland) betreibt meines Wissens nach ihre Rechenzentren ausschließlich über "eigene" Tochterfirmen.

    http://de.wikipedia.org/wiki/Raiffeisen_Informatik
    http://de.wikipedia.org/wiki/Finanz_Informatik

    IT Outsourcing bei Banken also: Ja, aber doch nur an verbundene/im Besitz stehende Unternehmen.

    Zum Thema Sicherheit von Onlinebanking: Der reine Onlinebanking Zugriff an sich, ist recht sicher, spannend wirds wenn dann externe Schnittstellen hinzugebastelt werden (oft auch gegen die AGB der Banken). Siehe Sofortüberweisung.de, ...

    Auch der Onlinezugang mittels "Bürgerkarte" (http://www.buergerkarte.at/) ist/war sehr unsicher und wurde bereits "gehackt".
    (war damals sogar ein Kollege von meiner Uni: http://diepresse.com/home/techscience/internet/sicherheit/750566/Osterreichische-Burgerkarte-hat-Sicherheitsleck)

  4. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: hannob (golem.de) 20.09.14 - 12:16

    justanotherhusky schrieb:
    --------------------------------------------------------------------------------
    > Bei der Raiffeisen Bank in Österreich weiß ich es sicher, dass die ihre IT
    > selbst betreiben. Selbst bedeutet in diesem Fall es gibt die Raiffeisen
    > Informatik, ein Tochterunternehmen der Raiffeisen Landesbank Noe-Wien und
    > der Raiffeisen Zentralbank. Auch die Sparkasse (Österreich und Deutschland)
    > betreibt meines Wissens nach ihre Rechenzentren ausschließlich über
    > "eigene" Tochterfirmen.

    Dass die eigene Rechenzentren haben ist mir klar, würde aber trotzdem vermuten (?) dass die in vielen Punkten noch von externen Kompetenzen abhängen. Alleine jede eingekaufte Software ist ja ein potentielles Problem.

    > Zum Thema Sicherheit von Onlinebanking: Der reine Onlinebanking Zugriff an
    > sich, ist recht sicher, spannend wirds wenn dann externe Schnittstellen
    > hinzugebastelt werden (oft auch gegen die AGB der Banken). Siehe
    > Sofortüberweisung.de, ...

    Also was ich so üblicherweise kenne: Die Bankwebseite selber samt dem von den meisten Kunden verwendeten Link aufs Onlinebanking ist über HTTP erreichbar, erst das Onlinebanking selber ist HTTPS. D.h. man kann das problemlos via SSL-Stripping angreifen. HSTS kommt fast nie zum Einsatz und von CSP hat sowieso noch nie jemand was gehört. Wenn Leute nach XSS auf Bankwebseiten suchen finden sie regelmäßig was.

    Das ist im Vergleich zu dem was bei manch anderen großen Webseiten der Sicherheitsstandard ist (Github ist so das Paradebeispiel die fast alles richtig machen) eher mager.

  5. Re: Ist denn ein CDN überhaupt sicher genug für Bankgeschäfte?

    Autor: Oktavian 21.09.14 - 14:37

    > Dass die eigene Rechenzentren haben ist mir klar, würde aber trotzdem
    > vermuten (?) dass die in vielen Punkten noch von externen Kompetenzen
    > abhängen. Alleine jede eingekaufte Software ist ja ein potentielles
    > Problem.

    Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte Software ist ein potentielles Problem, sondern natürlich auch jede Hardware. Was weiß man schon, was die Firmware, der Microcode, die Gatter noch alles tuen, wenn ich mal nicht genau hinschaue?

    Natürlich muss eine Bank fremder Software vertrauen, sie entwickeln ja die Betriebssysteme nicht selber. Sei es Windows, zOS, oder war auch immer sie gerade einsetzen. Und natürlich vertraut man neben auch externen Personen. Nicht nur denen bei den großen IT-Dienstleistern, die ja oft Töchter der Banken sind, sondern auch Partnerfirmen und Freelancern. Das ist das Los einer stark arbeitsteiligen Gesellschaft.

    Es ist schon richtig, unter den Sparkassen gibt es zur Zeit nur zwei, die nicht an der Finanzinformatik hängen. Die den Volksbanken sieht es kaum anders aus. Ich halte das aber eher für einen Sicherheitsgewinn, als wenn jede kleine Klitsche alles selber macht. So wird die IT professioneller betrieben, früher war das doch eher eine große Bastelei.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MBDA Deutschland, Schrobenhausen
  2. FLYERALARM Large Format Printing GmbH, Würzburg
  3. HALFEN GmbH, Langenfeld
  4. finanzen.de, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,99€
  2. 39,99€
  3. (-53%) 13,99€
  4. 14,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

  1. ERP-Software: S/4 HANA liegt erstmals vor der Business Suite
    ERP-Software
    S/4 HANA liegt erstmals vor der Business Suite

    Die SAP-Anwenderfirmen haben den Umstieg vollzogen. Die Investitionen fließen in das neuere Produkt, so wie von SAP geplant. Wenn auch später, als viele erwartet haben.

  2. Eclipse Foundation: Java-EE-Nachfolger Jakarta EE 9 soll Mitte 2020 erscheinen
    Eclipse Foundation
    Java-EE-Nachfolger Jakarta EE 9 soll Mitte 2020 erscheinen

    Nachdem Oracle den Code von Java EE an die Eclipse Foundation abgegeben hat, erfolgte die Umbenennung der Java Enterprise Plattform in Jakarta. Mit Jakarta EE 9.0 soll in diesem Jahr eine erste eigenständige Version erscheinen.

  3. Smartphones: Qualcomm nutzt RISC-V in Snapdragon-Chips
    Smartphones
    Qualcomm nutzt RISC-V in Snapdragon-Chips

    Einer der größten SoC-Entwickler setzt mittlerweile auf RISC-V: Qualcomm integriert Kerne mit der offenen Befehlssatzarchitektur für den Embedded-Einsatz in aktuellen und zukünftigen Snapdragon-Chips.


  1. 16:03

  2. 15:37

  3. 15:12

  4. 14:34

  5. 14:12

  6. 13:47

  7. 13:25

  8. 13:12