eTresor der Volksbanken nicht wirklich verschlüsselt

Die Volksbanken bieten ihren Online-Banking-Kunden mit dem sogenannten eTresor einen sicheren Ort zur Aufbewahrung sensibler Daten. Viele Cloud-Storage-Anbieter legen vor allem Wert auf Komfort und nehmen geringere Sicherheitsstandards in Kauf. Nachdem Dropbox zugeben musste, dass sie die Daten nun doch nicht verschlüsselt ablegen, Apple seine iDisk gerade abgeschaltet hat, Megaupload in einer rechtsfehlerhaften Großrazzia zerschlagen wurde, denke ich lieber zweimal nach nach, bevor ich meine Daten irgendwo in der Cloud ablege. Speicherplatz in einem Banken-Datencenter ist eine interessante Option.

Mit einer Dateigröße von maximal 7 MB ist der eTresor nicht gerade der richtige Ort für die Familienvideos.

Für die Musik- oder Filmsammlung ist der eTresor eher ungeeignet. Aber in der richtigen Welt würde man ja auch nicht sein gesamtes Hab und Gut in einen Tresor legen, sondern nur das, was einem lieb und teuer ist.

Datensicherheit

Wer sich für den eTresor entscheidet, der wird sicherlich vor allem die Datensicherheit im Auge haben. Also Verfügbarkeit, Integrität und Vertraulichkeit: für Banken sind das Selbstverständlichkeiten. Denn wer will schon von seinem Bänker hören, dass er die Kontodaten verloren hat und aufgrund eines Datenverlusts das Konto auf Null gestellt wurde. Datenintegrität ist auch eine Selbstverständlichkeit. Den Bankirrtum zu meinen Gunsten hatte ich bisher nur beim Monopoly-spielen. Und dann gibt es noch den Punkt der Vertraulichkeit. Lange zeit war das Bankgeheimnis der Inbegriff von Verschwiegenheit. Seitdem es in Deutschland per Gesetz abgeschafft wurde und schweizer Banken CD-Brenner in ihren Büros stehen haben, muss man wohl zugeben, dass sich die Zeiten gewandelt haben.

Vertraulichkeit durch Verschlüsselung?

In den Vertragsbedingungen der Volksbanken heißt es:

 

Zugriff auf den Inhalt des kundenindividuellen eTresor hat ausschließlich der ordnungsgemäß legitimierte Kunde selbst. Die Einrichtung und der Zugriff von Bevollmächtigten wird nicht unterstützt. Auch die Bank hat keine Möglichkeit, den Inhalt einzusehen.

Die Seite die-signaturkarte.de erklärt, dass die Daten des eTresors verschlüsselt sind und darum nur vom Benutzer eingesehen werden können.

 

Im eTresor werden sämtliche dort vorliegenden Daten verschlüsselt und können von Dritten nicht gelesen werden. 

Aus reiner Neugier habe ich bei meiner Volksbank nachgefragt, ob denn wirklich kein Mitarbeiter der Bank oder des Volksbank-Datendienstleisters GAD Zugriff auf meinen eTresor hätte. Um es pointiert auf die Spitze zu treiben, habe ich gefragt, ob auch für den Fall, dass ein Terrorist mit einer Maschinenpistole oder Ermittler mit richterlichem Durchsuchungsbefehl die Entschlüsselung und Herausgabe meiner Daten fordern könnten. Die Antwort der GAD kam nach wenigen Tagen.

  • Die Daten werden verschlüsselt gespeichert.
  • Bankmitarbeiter haben keinen Zugriff auf die Daten
  • Das Bankgeheimnis gilt nicht für Ermittlungen in Strafprozessen 

Diese ersten Punkte überraschen nicht. Jetzt kommt aber die überraschende Aussage:

  • Auf richterliche Anordnung haben Mitarbeiter der GAD die Möglichkeit, die Daten unverschlüsselt herauszugeben.

Mitarbeiter haben also doch Zugriff auf meine Daten. Wie das genau funktioniert wurde nicht erklärt. Aber ich gehe mal davon aus, dass sie keine brute-force-attacke laufen lassen müssen, sondern Zugriff auf die Schlüssel haben.

Natürlich wurde ich beruhigt, dass ein unautorisierter Zugriff durch einen GAD-Mitarbeiter auf meine persönlichen Daten wahrscheinlich nicht ohne arbeitsrechtliche und vermutlich auch strafrechtliche Konsequenzen bliebe und daher höchst unwahrscheinlich sei. Das ist bestimmt auch war.

Immerhin liegt der eTresor im Gegensatz zu vielen anderen Cloud-Lösungen in Deutschland und unterliegen daher deutschem Datenschutz. Trotzdem bin ich enttäuscht, dass hier keine stärkere Kryptgrafie zum Einsatz kommt. 

Zugriffssperre wäre ein wichtiger Schutz für Kunden und Mitarbeiter

Denn Mitarbeiter der GAD könnten erpresst und gezwungen werden, den eTresor zu öffnen. Dabei haben die Banken doch schon seit langem erkannt, dass man die Zugriffsrechte von Mitarbeitern auch zu ihrem eigenen Schutz einschränken muss: Wenn ein Bankräuber Bargeld erbeuten will, hat der Bankmitarbeiter in der Regel nur sehr kleine Geldbeträge im direkten Zugriff und muss für größere Mengen daruf warten, bis eine zeitgesteuerte Sperre größere Summen freigibt. Daran kann auch ein Bankräuber mit einer Kalaschnikow nichts ändern.

Es bleibt zu hoffen, dass ein ähnliches Prinzip auch für den eTresor zum Tragen kommt. Denn der Name des als gewissenhaft, aber eher behäbig geltenden Datendienstleister "GAD, e.G." wird volksbankintern auch gern als Akronym für "geht, aber dauert" bezeichnet. In eingen Fällen mit seinem Zusatz "einige Generationen".

Write a comment

Comments: 6
  • #1

    ipad 3 skin (Thursday, 13 September 2012 04:10)

    I really appreciate what you'v posted here. I will recommend it to my friends. Thank you for sharing.

  • #2

    ipad 3 sleeve (Thursday, 13 September 2012 04:12)

    I really appreciate what you'v posted here. I will recommend it to my friends. Thank you for sharing.

  • #3

    Tory Burch Outlet (Monday, 17 September 2012 02:28)

    Far from eye, far from heart.

  • #4

    Oriflame (Thursday, 11 October 2012 13:24)

    Nice article.

  • #5

    Tory Burch Outlet (Saturday, 10 November 2012 04:49)

    The best way to dispel such ruffianly exhibitions, is by the presence of women, as members of such bodies.

  • #6

    Discount Jordan Shoes (Saturday, 20 April 2013 04:32)

    Liao New Retro Jordans , you can see the important position of shoes of this Wholesale Jordan Shoes . So news about the Jordans Sale has given a shock to all fans again again. These years, Wholesale Jordans again and again, the price is a little low, but if you miss the Coach Factory new real,but you thinking.