Freigabeverfahren der Sparda-Bank Baden-Württemberg

Wie andere Banken auch, bietet die Sparda-Bank BW verschiedene Freigabeverfahren an, darunter die SpardaSecureApp für TANs über das Smartphone oder PC/Mac.

Um dieses TAN-Verfahren zu aktivieren, sendet die Sparda-Bank BW den Kunden einen Brief mit einem Aktivierungscode zu. Zusätzlich dazu enthält der Brief einen QR-Code, der mit der App gescannt werden kann, um die benötigten Daten direkt zu übernehmen und nicht händisch eingeben zu müssen.

Gastbeitrag

Ein Gastbeitrag von BD.

Das Problem steckt im QR-Code

https://secure-app.de/aktivieren?benutzerkennung=HIDDEN&aktivierungscode=HIDDEN

Bis Mitte Mai 2022 war im QR-Code eine URL mit den zur Freischaltung benötigten Daten als URL-Parameter hinterlegt. Die Domain (secure-app.de) befand sich Ende April (25.04.2022) allerdings am letzten Tag der Redemption Grace Period (RGP) und damit nicht (mehr) im Besitz einer Sparda-Bank oder deren IT-Dienstleister.

Ich konnte die Domain secure-app.de am Folgetag selbst registrieren und erhielt so von durchschnittlich über 140 Personen am Tag den zweiten Faktor einer Online-Überweisung auf dem Silbertablett serviert. Über eine gezielte Phishing-Seite hätten theoretisch auch noch die Zugangsdaten zum Online-Banking abgegriffen werden können.

Selbstverständlich kontaktierte ich die Sparda-Bank BW vor der Registrierung mehrfach. Allerdings verwies der telefonische Kundensupport nur darauf, dass der QR-Code mit der SpardaSecureApp gescannt werden muss. Dies wurde im Brief allerdings nicht beschrieben. Per E-Mail erhielt ich nicht rechtzeitig vor Ablauf der RGP eine Antwort, dass die Bank die Domain selbst registrieren wird.

Kontakt mit dem IT-Dienstleister und Anbieter der App

Nach mehreren Meldungen bei der Sparda-Bank BW kontaktierte mich am 06. Mai 2022 ein Mitarbeiter der Sopra Financial Technology GmbH, um Interesse an einer Übertragung der Domain zu bekunden. Allerdings müsse man noch auf den IT-Provider zugehen, weshalb er sich erneut mit weiteren Details bei mir melden würde.

Fast eine Woche später kontaktierte er mich erneut und bat mich, ihm telefonisch (E-Mail sei nicht verschlüsselt) den Auth-Code zur Domain-Übertragung zu übermitteln.

Auf meine Nachfrage, wie viel die Sopra Financial Technology GmbH für die Domain zahlen wird, erhielt ich ein Angebot über 1.500 € Aufwandsentschädigung und 200 € Domainwert. In Anbetracht des möglichen potenziellen Schadens war das Angebot meiner Meinung nach allerdings zu gering. Auf einen finanziellen Vorschlag meinerseits habe ich bis heute keine Antwort mehr erhalten, weshalb sich die Domain weiterhin in meinem Besitz befindet und sich täglich an rund 10 Besuchern erfreut.

E-Mails von Besuchern

Bisher wurde meine Hinweisseite von über 4.800 Personen besucht.

Einige von ihnen haben mich auch per E-Mail kontaktiert und u. a. um Hilfe gebeten, ihre App zu aktivieren. Dabei habe ich teilweise auch ungefragt die IBAN und Wohnadresse erfahren. Mit ein paar Besuchern habe ich zudem auch telefoniert und ihnen das Problem direkt schildern können.