Erfahrungen mit Bank of Scotland

Wednesday, July 14th, 2010 | kurios, unglaublich, lächerlich

Am Anfang des Jahres eröffnete ich ein Tagesgeldkontos bei der Bank of Scotland. Der Anmeldevorgang verlief problemlos, die Überweisung auf das Konto ging schnell und die 20€-Prämie wurde überwiesen.

Allerdings sind die Technik und die “Sicherheitsfunktionen” der Bank of Scotland mehr als fraglich.

Direkt am Anfang stellte ich eine Anfrage an die Kundenbetreuung, ob der Zugriff per HBCI möglich wäre. Hier ein Auszug aus dem Textblock:

Die Sicherheit der Daten und Einlagen unserer Kunden ist uns besonders wichtig. Aus diesem Grund verwenden wir ein mehrstufiges Login-System, bestehend aus der Abfrage von Benutzername, Kennwort und Sicherheitsfrage(n).

Da diese Abfragen von der von Ihnen verwendeten Software bisher nicht unterstützt werden, ist eine komplette Kontoverwaltung durch dieses Programm leider nicht möglich.

Daraufhin fragte ich nochmals nach, welche Software das mehrstufige Login-System unterstützen würde.

Unseres Wissnens nach wird unser Sicherheitsstandard bisher von keiner Banking-Software unterstützt. Sobald wir offiziell mit einem Hersteller zusamen arbeiten oder ein eigenes Produkt veröffentlichen, können Sie sich auf unserer Homepage bankofscotland.de über diesbezügliche Neuerungen informieren.

Faktisch ist überhaupt keine Nutzung über HBCI möglich. Das mehrstufige Login-System fragt neben Benutzername und Kennwort bei jedem Login eine von drei Sicherheitsfragen ab. Insgesamt muss man sechs Sicherheitsfragen hinterlegen, die anderen drei scheinen für das Telefonsystem zu sein. Das ist schon sehr umständlich und fördert sicherlich auch die Unzufriedenheit bei den Anwendern.

Auf der Login-Seite lässt die Bank kein Copy&Paste zu, JavaScript deaktiviert die entsprechenden Tastenkombinationen. Übrigens funktioniert das Einfügen über einen Passwort-Manager (z.B. KeePass) trotzdem.

Der ganze Login-Bereich wirkt optisch altbacken und ist usability-feindlich. Die Bank arbeitet mit Tabellenlayouts und Frames. Ein Blick in eine JavaScript-Datei (die im Übrigen auch diese Sicherheitsfeatures zum Deaktivieren der Tastenkombinationen beinhaltet) zeigt Erstaunliches.

Der Header der Datei common.js sieht so aus:

/*—————————————————————————–
This source is part of the FLEXCUBE@ Java App Server Software System and is
copyrighted by i-flex Solutions Limited.

[...]

i-flex Solutions Limited.
10-11, SDF I, SEEPZ, Andheri (East),
Mumbai – 400 096.
India

Copyright 2004 i-flex Solutions Limited.

Modification History

Date Version Author Description
__________ ___________ _______________ ________________________________________
10/11/2006 1 Rupesh N Initial Version
09/03/2009 2 SaurabhV Added the code to disable text selection in mozilla
10/03/2009 3 Priti D Disabled Shift+F6 key(address bar visible)
——————————————————————————*/

Zum Copyright 2004 passt die ganze Homepage dann wieder. Der Change-Log in der öffentlichen Datei bringt einen schon zum Schmunzeln, hier noch weitere Auszüge.

//Not FoolProof. Not all browser support this requirement.
function disablekeyboardnavigation(e) {
//alert (“key down”);
//alert (event.keyCode);

[...]

if (navigator.appName == “Microsoft Internet Explorer”)
{
//alert (event.srcElement.tagName);
if ((event.altKey) && (event.srcElement.tagName == “INPUT”)) {
//alert (“not allowed”);
//return false;
}
if ((event.keyCode == 96) || (event.keyCode == 97) || (event.keyCode == 98)) {
//alert (“not allowed”);
//return false;
}

[...]

if (event.keyCode == 116 || event.keyCode == 121 || event.keyCode == 122)
{
event.keyCode = 0;
}

if((event.keyCode != 93) || (event.keyCode == 93 && event.srcElement.tagName != “INPUT”))
{
alert(“Der gewählte Vorgang kann nicht ausgeführt werden. Bitte benutzen Sie die Navigation in Ihrem Onlinebanking-Bereich.”);
return false;
}
/*if ((event.keyCode == 8 && event.altKey && (event.srcElement.tagName == “BODY”))) {
alert (“tag name : ” + event.srcElement.tagName);
alert(“This operation is not allowed.”);
return true;
}*/

Und so weiter. Hier werden noch niemals Coding Standards eingehalten, aber wenn jemand schon die “Debug-Statements” im Code lässt…
Ich hoffe nur, dass das Backend eine bessere Qualität aufweist.

Wenn man den Login-Bereich im Google Chrome aufruft (ich habe nur FF, IE und Chrome ausprobiert), bekommt man nach dem Klick auf “Anmelden” einen 400 Bad Request Fehler von dem Webserver, anscheinend auch nur, wenn die Zugangsdaten korrekt sind. Die Fehlerseiten des Webservers sind natürlich nicht angepasst.

Vielleicht liegt es daran, dass es 2004 noch keinen Google Chrome gab. Damals gab es auch noch keine Browserunterstützung für EV-SSL-Zertifikate. Hier ein Auszug aus dem Wikipedia-Artikel:

Genutzt werden die Zertifikate meist, um Webanwendungen per HTTPS zu sichern und den Anwendern vor dem Hintergrund von Phishing-Angriffen eine zusätzliche Sicherheit zu geben, etwa beim Online-Banking.

Wie war das noch mal mit “Die Sicherheit der Daten und Einlagen unserer Kunden ist uns besonders wichtig.”?

Tags:

6 Kommentare to Erfahrungen mit Bank of Scotland

Max
August 29, 2010

ich hatte mich bei der BoS auch schon genau über diese komplizierten Dinge geärgert und ich verstehe nicht, wieso denn nicht einmal die Kontostandabfrage über fremde Tools möglich ist? Unterwegs vom Handy aus mal eben den Kontostand abfragen ist schon was tolles und sollte doch auch keine größeren Sicherheitsrisiken hervorrufen? Dass für die Überweisungen ansich dann mehrere Sicherheitsstufen gelten, finde ich hingegen wieder gut.

DC
December 20, 2010

Informativer Artikel. Insbesondere zum Thema HBCI (hatte ich mich auch schon gefragt) und der HTML “Qualität”. Dazu kommt noch, dass die Loginseite in einer Endlosschleife gefangen ist, wenn man im Firefox den Referer-Header eingeschränkt hat. Da nützt dann auch kein Firefox Safemode.

Insgesamt frage ich mich jetzt schon, ob ich dem Institut tatsächlich Geld anvertrauen will. Zumal das, was nach dem Login kommt, auch nicht besser aussieht. Das ging auch 2004 schon anders.

Schade, dass es keine neueren Artikel hier gibt :-)

Ted
January 11, 2011

Ich wollte mich auch gerade neu einloggen und habe alles abgebrochen, weil 6 Sicherheitsfragen einfach eine Frechheit sind!!!

Neustrelitz
February 10, 2011

Allein die Umständlichkeit des Einloggens kann ja wohl keinen Ausdruck von Sicherheit darstellen. Gleiches gilt über die Gestaltung von HTML-Markup und auskommentierten Debug-zeilen im Javascript.

infogurke
February 10, 2011

Naja, es lässt aber einen Blick auf die Qualität der Programmierung zu. Wenn das schon “gefrickelt” ist, warum sollten die kritischen Bereiche besser sein? Es zeigt einfach die grundlegende Vorgehensweise. Außerdem habe ich in dem Artikel noch auf andere Punkte hingewiesen, Security byobscurity, SSL-Cert, etc.

jan
March 8, 2011

Leider wird machens Online Banking immer umständlicher, bei meiner Hausbank wollen die jetzt auch alles umstellen, dann kann man nicht mehr weltweit Überweisungen ausführen weil man ja seinen Tangernarator nicht ins Internetcaffe mit nehmen kann.