Da lag die c‘t wohl etwas falsch

Gegendarstellung der CORONIC GmbH zum c‘t Artikel „Scheinbar sicheres Banking“:
Die c‘t wurde bereits am 20. und 25. Mai darüber informiert, dass wir dabei sind Updates vorzubereiten. Die im Artikel benannten Sicherheitslücken waren am 31. Mai bereits geschlossen. Aussagen in dem Artikel sind zweifelhaft oder irreführend. Das Produkt, seine Zielsetzung und seine Funktion wurden nicht richtig verstanden und fehlerhaft wiedergegeben.

Im Einzelnen zu den gemeldeten Sicherheitslücken:
Die virtuelle Bildschirmtastatur ist mit einem zusätzlichen Screenshotschutz ausgerüstet worden. Der Hauptschutz gegen das Auslesen von eingegebenen PINs war stets der CORONIC Tastaturrauscher. Die virtuelle Tastatur wurde tatsächlich kaum von einem Kunden genutzt. Ein fast ungenutztes Feature als Sicherheitslücke auszugeben ist sehr akademisch. Das Überschreiben der signierten Datei ist verhindert worden. Die Datei war zu keinem Zeitpunkt leicht austauschbar, nur in einem kurzen Zeitfenster zwischen der Prüfung der Signatur und dem Laden in den Speicher war dies überhaupt möglich. Die Lücke zum Aussortieren der Tastaturanschläge wurde geschlossen. Der hierfür verantwortliche CORONIC Tastaturrauscher ist seit Jahren in Einsatz, kein Keylogger und kein Banking-Trojaner hat ihn jemals zuvor überwunden. Alle bis hier genannten Lücken waren bereits am 31. Mai geschlossen. Die aktuelle Version ist die 5.4.18.0. Die DLL-Searchpath-Hijacking Lücke war bereits am 16. Mai geschlossen. Warum über einen mehr als zwei Wochen zurückliegenden Fehler nochmals halbseitig berichtet wird, ist unklar.

Ein weiterer Kritikpunkt ist das Finden eines bereits bekannten Kennworts im Arbeitsspeicher. Wenn das Kennwort bereits bekannt ist, ist der Angriff schon vorher erfolgt. Das Auslesen des Arbeitsspeichers ist auf Windows Systemen bei Ausführung technisch immer möglich. Ein ähnlicher Kritikpunkt widmet sich dem Umstand, dass in einer Fernwartungssitzung die Seiten der Bank „ausgelesen“ werden können. Der eigentliche Angriff ist auch hier schon vorher passiert, nämlich das Installieren eines Fernwartungsprogramms mit Zustimmung des Nutzers. Das was als „Auslesen“ bezeichnet wird, ist eher das Herumstochern in einem schwarz eingefärbten Screen (aktiver Screenshotschutz). Sollte man zufällig ein Tastenfeld treffen, sind sensible Daten wie die PIN natürlich auch dann nicht „auslesbar“, sondern werden durch vier Sternchen **** überschrieben.
Als letztes wird die Verwendung der Funktion SetWindowDisplayAffinity() kritisiert. Sie wird von unserem Browser als Screenshotschutz eingesetzt, über den normale Browser gar nicht erst verfügen. Sie funktioniert gut und wurde bisher nicht von Banking-Trojanern umgangen. Wir nehmen den Hinweis gerne auf und ergänzen den bereits vorhanden Screenshotschutz um ein weiteres Sicherheitsmerkmal.

Es ist uns wichtig festzustellen, dass der Protect-Browser über viele Sicherheitsmechanismen verfügt, über die ein normaler Browser nicht verfügt. In diesen zusätzlichen Sicherheitsmechanismen hat die Zeitschrift c‘t einen Verbesserungsbedarf entdeckt. Dafür sind wir dankbar. Als Konsequenz aber zu sagen, der Browser sei nicht sicher genug, ist nicht korrekt.

Zur korrekten Positionierung des Produktes:
Protect ist ein Browser auf der gleichen Basis wie Google Chrome. Er ist durch eine Whitelist jedoch so eingeschränkt, dass man nur die Seiten der Bank besuchen kann. Banking-Trojaner holt man sich normalerweise nur, wenn man mit einem ungeschützten Standardbrowser auf infizierten Seiten im Internet surft. Das ist mit dem Protect-Browser prinzipbedingt nicht möglich, denn man kann nur die „guten Seite der Bank“ besuchen. Zusätzlich zur Whitelist verfügt Protect über zusätzliche Sicherheitsmerkmale, wie z.B. Screenshot-Schutz oder Keylogger-Schutz. Merkmale, die ein Standardbrowser nicht besitzt, die aber dem Schutz vor typischen Banking-Trojanern dienen. Es gibt viele solche Sicherheitsmerkmale im Protect. Selbst wenn eines davon angreifbar wäre, bieten die verbliebenen Merkmale zusammen mit der Whitelist immer noch einen sehr guten Schutz.

Natürlich ist nichts in der Welt unendlich sicher, aber sicherer als ein Standardbrowser ist Protect allemal – und damit auch das Online-Banking. Das Produkt ist seit zehn Jahren am Markt, es hat mehrere Security-Audits durchlaufen, bisher ist kein einziger Schadensfall durch Banking-Trojaner eingetreten. Protect wurde konzipiert für nicht sicherheitsaffine Privatkunden von Banken. Diese Kunden scheuen das Online-Banking, weil sie Sorge haben, dass ihr PC bereits kompromittiert sein könnte. Sie fürchten dann beim Online-Banking bestohlen zu werden. Für diese Kunden ist der Protect-Browser ein einfaches Instrument, um sich sicherer auf den Seiten der Bank zu bewegen. Protect ist dafür konzipiert im schlimmsten Fall auch Banking-Trojaner abwehren zu können, die sich bereits auf dem PC befinden. Selbstverständlich empfehlen wir nicht auf verseuchten PCs Online-Banking zu machen. Wir bedauern sehr, dass die Zeitschrift c‘t sich trotz unserer mehrmaligen Hinweise zu Funktion und Einsatzzweck des Produktes nicht hinreichend damit beschäftigen konnte.
Update am 4.6.: Die c`t hat zu ihrem Artikel ein Update veröffentlicht und geschrieben „Der Hersteller der Software hat uns am heutigen Tage per Anwaltsschreiben darum gebeten, darzustellen… „. Wir bedauern diese Art der Kommunikation sehr. Wir haben am 25.5. und am 31.5. die c’t Redaktion auf ganz normalem Wege per Mail angeschrieben. Leider hat man nicht reagiert, weshalb wir danach einen Anwalt gebeten haben, für uns zu schreiben. Die im c’t Update angemahnten Punkte hatten wir in unserer obigen Stellungnahme bereits angesprochen.

Anmeldung zum Newsletter