Connect with us

Datenschutz & Sicherheit

Empfängerüberprüfung: IBAN eingeben, Klarnamen bekommen


Seit Oktober müssen Banken eine Empfängerüberprüfung („Verification of Payee“, VOP) bei Überweisungen durchführen. Damit ist es nicht nur leichter geworden Fehlüberweisungen zu vermeiden. Leichter ist es gewissermaßen auch, sich ohne große Mühe einen Einblick in Daten der potenziellen Geldempfänger*in zu verschaffen. Denn so wie einige Kreditinstitute diese neue Funktion in Deutschland umsetzen, bekommt man bei der bloßen Absicht, einer Überweisung zu tätigen, schon den vollständigen Passnamen der entsprechenden Person angezeigt. Dafür braucht man häufig nur die IBAN und Teile des Namens.

Mindestens bei einem der beliebtesten Kreditinstitute in Deutschland reicht dafür neben der IBAN bereits der Nachname. Die Bank übermittelt sodann den kompletten im Konto hinterlegten Namen samt aller Vornamen. Wenn ich also „Mustermensch“ eingebe, bekomme ich als Vorschlag „Robin Lou Mustermensch“ zurück.

Das ist eher eine Ausnahme, bei den meisten Banken wird das so nicht funktionieren. Dennoch offenbaren viele Institute den vollständigen Passnamen, wenn man den Anfangsbuchstaben oder Teile eines der Vornamen eingibt. Millionen von Kund*innen sind betroffen.

Sollten auf diese Weise Zweitnamen der eigenen Freund*innen ans Licht kommen, kann es amüsant sein und die Freund*innen finden es eventuell nicht weiter schlimm. Heikler wird es bei Menschen, deren IBAN man aus Rechnungen oder anderweitigen geschäftlichen Beziehungen kennt. Auch bei der monatlichen Gehaltsüberweisung durch die Arbeitgeber*in wird gegebenenfalls eine Meldung mit dem vollständigen Namen aufploppen. Die Übermittlung von geschlechtlich konnotierten Vornamen kann ebenfalls Probleme nach sich ziehen. Das betrifft etwa trans Personen, die ihren Vornamen und Personenstand nicht geändert haben und deren „Deadname“ auf diesem Weg bekannt werden kann.

Bemerkenswert dabei ist: Die betroffene Person kriegt davon nichts mit. Das ist im Hinblick auf Datenschutz und informationelle Selbstbestimmung bedenklich.

Ein wesentliches Element der Empfängerüberprüfung

Seit dem 9. Oktober ist die neue Empfängerprüfung für Standard- und Echtzeitüberweisungen im Europäischen Zahlungsraum Pflicht. Die EU-Verordnung über Sofortzahlungen aus dem Jahr 2024 schreibt vor, dass Banken innerhalb von Sekunden prüfen müssen, ob Name und IBAN der Zahlungsempfänger*innen übereinstimmen. Das soll für mehr Sicherheit im Zahlungsverkehr sorgen und Betrug verhindern, wenn beispielsweise Rechnungen mit plausiblen Namen aber manipulierten IBAN verschickt werden.

Die Prüfung funktioniert folgendermaßen: Die Bank der Zahler*in schickt die angegebenen Daten in einer Anfrage an die Bank der Empfänger*in. Diese prüft, ob die IBAN und der Name mit denen der Kontoinhaber*in identisch sind und gibt eine der drei möglichen Antworten zurück: exakte Übereinstimmung („Match“), nahezu Übereinstimmung („Close Match“) oder keine Übereinstimmung („No Match“). Bei einem Match führt die Bank die Überweisung ohne Weiteres aus. In den letzten beiden Fällen informiert das Kreditinstitut die Zahler*in, sodass diese entscheiden kann, die Eingabe noch zu ändern oder die Überweisung ohne Änderung fortzuführen. In diesen Fällen trägt die Zahler*in das Risiko einer Fehlüberweisung. Die Bank haftet nur bei der exakten Übereinstimmung. Bei einem Close Match schickt die Empfängerbank außerdem den korrekten Namen der Kontoinhaber*in mit.

Das Ziel des „Close Match”-Szenarios ist es also, die Benutzer*innenfreundlichkeit bei Zahlungen zu gewährleisten und zu viele unnötige „No Match”-Antworten zu vermeiden. Das Close Match mit dem Namensabgleich ist damit ein wesentliches Element der Empfängerüberprüfung.

Was die Banken als Close Match werten und ab wann sie keine Übereinstimmung mehr sehen, entscheiden sie oder ihre IT-Dienstleister selbst. In Deutschland haben Kreditinstitute verschiedene Algorithmen entwickelt, sodass die praktische Umsetzung unterschiedlich ausfällt. Eine Eingabe, die eine Bank als No Match bewertet, gibt eine andere als Close Match zurück und umgekehrt. Das führt laut dem Bundesverband der Verbraucherzentrale bei vielen Kund*innen zu Irritationen.

Der Namensabgleich bei einem Close Match

Die EU-Verordnung besagt, dass der Name der Zahlungsempfänger*innen bei einem Close Match übermittelt werden muss. Allerdings ist nicht näher festgelegt, in welchem Umfang.

Der Europäische Zahlungsverkehrausschuss, ein Zusammenschluss von Banken und Bankenverbänden auf EU-Ebene, hat konkrete Szenarien für eine Nahezu-Übereinstimmung erarbeitet. Ein Close Match liegt demnach beispielsweise vor, wenn zwei Buchstaben im Vor- oder Nachnamen vertauscht sind. Oder wenn ein bis zwei Buchstaben durch andere mit derselben Aussprache ersetzt wurden. Auch wenn nur der Anfangsbuchstabe des Vornamens zusammen mit dem Nachnamen eingegeben wird, könnten Banken das als Nahezu-Übereinstimmung werten. Diese Szenarien sind nicht bindend, sondern lediglich Empfehlungen.

Zu dem Namensabgleich schreibt die Organisation dennoch: „Der antwortenden Bank wird dringend empfohlen, in der „Close Match“-Antwort Datenminimierung anzuwenden und nur die Namensinformationen zur Verfügung zu stellen, die in der Anfrage genannt wurden.“

Die meisten Banken oder ihre IT-Dienstleister geben auf Anfrage von netzpolitik.org an, sich bei der Überprüfung an den Empfehlungen des Europäischen Zahlungsverkehrsausschusses zu orientieren. Und trotzdem offenbaren sie mehr Daten bei einem Close Match als bei der Eingabe getätigt wurden.

Lediglich ING-Diba hält sich an dieses Prinzip. „In einem beispielhaften Szenario, in dem jemand mehrere Vornamen trägt, werden nur die Vornamen übermittelt, die in der Überweisung nahezu eingegeben wurden“, schreibt der Pressesprecher auf Anfrage.

Identitätsprüfung oder Betrugsbekämpfung?

David-Jan Janse vom niederländischen Unternehmen SurePay, dem Dienstleister der Empfängerüberprüfung für die Online-Bank Bunq, hat laut eigenen Angaben das Prinzip des „Close Match“ erfunden. Der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung galt in der Fintech-Branche zuvor als Hinderungsgrund für die Empfängerüberprüfung. Zusammen mit seinem Kollegen hat er sich deshalb die Frage gestellt, wie man bei einer Überweisung einen Namen offenbaren kann, ohne ihn gleich zu offenbaren – ähnlich wie bei einem Galgenmännchen-Spiel.



Uns fehlen dieses Jahr
noch 336.123 Euro.

Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt Spenden

So entwickelte er eine Version der Empfängerüberprüfung, die in den Niederlanden seit etwa acht Jahren implementiert ist. In dieser Umsetzung gilt „Privacy by Design“. Das bedeutet, dass die eingegebenen Daten nur korrigiert werden. Neuen Daten werden nicht offengelegt.

Wenn die Bank den Anfangsbuchstaben des Vornamens und den Nachnamen beispielsweise als Close Match einstufen möchte, wäre laut Janse eine Meldung denkbar: „Der Name ist zu kurz. Bitte geben Sie den vollständigen Namen ein“, ohne unbekannte Teile des Namens gleich zu offenbaren.

Wie die Empfängerprüfung mancherorts in Deutschland umgesetzt ist, erinnert Janse eher an eine Identitätsprüfung. Bei der Empfängerüberprüfung im Zahlungsverkehr müsse im Vordergrund stehen, dass die Überweisung nicht an die falsche Person geht. „Es sollte weniger darum gehen, ob es der korrekte Passname ist oder nicht“, sagt der Unternehmer.

Bei der praktischen Umsetzung sei die Risikobereitschaft der Banken entscheidend. Da sie für die Überweisungen haftbar gemacht werden können, wollten diese sicherstellen, dass die Zahlung an die Empfänger*in mit genau dem richtigen Namen geht, anstatt die Funktion als Instrument zur Betrugsbekämpfung zu nutzen. Auch in Frankreich tendierten Banken eher zu dieser Art von Empfängerprüfung als Identitätsprüfung.

„Die Offenlegung des Namens hat einen Nachteil“, fügt Janse hinzu. „Das hilft letztlich den Betrügern. Und ist daher keine ideale Umsetzung.“

Ist Missbrauch möglich?

Gefragt nach Mechanismen gegen Missbrauch schreiben einige Banken, dass die Geheimhaltung des Matching-Algorithmus ein solcher Mechanismus sei.

Laut dem Bundesverband der Verbraucherzentrale haben Banken Schutzmechanismen eingerichtet, die eine systematische Nutzung für Identitätsrecherchen verhindern sollen. „Wie hoch das Risiko ausfällt, ist davon abhängig, wie gut die Schutzmechanismen ausgestaltet sind und wie stark ein Name abweichen darf, damit der richtige angegeben wird. Das Risiko dürfte sich daher von Bank zu Bank unterscheiden.“



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

LastPass warnt vor Phishing-Kampagne | heise online


Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.

Weiterlesen nach der Anzeige

Davor warnt LastPass in einem aktuellen Blog-Beitrag. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.

LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.

Vermeintliche Backups der Passwort-Vaults

Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.

„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.

Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:

  • „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, IP-Adresse 52.95.155[.]90
  • mail-lastpass[.]com,. IP-Adressen 104.21.86[.]78, 172.67.216[.]232 sowie 188.114.97[.]3
  • support@sr22vegas[.]com, support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3
  • IP-Adressen dazu 192.168.16[.]19 und 172.23.182.202

Weiterlesen nach der Anzeige

Die Mails tragen Betreffzeilen wie

  • „LastPass Infrastructure Update: Secure Your Vault Now“
  • „Your Data, Your Protection: Create a Backup Before Maintenance“
  • „Don’t Miss Out: Backup Your Vault Before Maintenance“
  • „Important: LastPass Maintenance & Your Vault Security“
  • „Protect Your Passwords: Backup Your Vault (24-Hour Window)“

LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Dell Data Protection Advisor über unzählige Sicherheitslücken angreifbar


Eigentlich soll Dell IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.

Weiterlesen nach der Anzeige

Wie aus einer Warnmeldung hervorgeht, stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.

Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.

Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.

Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Updaten! Angriffsversuche auf Sicherheitslücken in Cisco Unified Communications


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In mehreren Unified-Communications-Produkten von Cisco klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.

Weiterlesen nach der Anzeige

Das teilt Cisco in einer Sicherheitsmeldung mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).

Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.

Angriffsversuche: Updates für betroffene Produkte

Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.

Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.

Weiterlesen nach der Anzeige

Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag herausgegeben.


(dmk)



Source link

Weiterlesen

Beliebt