Im Webbrowser S-Protect, der sicheres Online-Banking bei Sparkassen ermöglichen soll, hat der Hersteller Coronic ein paar der von c't entdeckten Schwachstellen abgedichtet. Der Browser sollte den Werbeversprechen der Sparkassen und des Herstellers zufolge auch auf infizierten Rechnern sicheres Online-Banking ermöglichen. Die Untersuchung des Browsers durch die c't förderte jedoch mehrere Unzulänglichkeiten zutage, die dieses Versprechen fragwürdig erscheinen ließen.

Das Unternehmen Coronic hat seitdem die aktualisierte S-Protect-Version 5.4.18.0 veröffentlicht, die die von c't entdeckten Mängel beheben soll. Zudem hat es im Unternehmensblog Stellung bezogen. Weiterhin gab es Änderungen an den Werbeaussagen auf der Webseite des Herstellers.

Nachprüfung von S-Protect

Das c't-Investigativteam hat die aktualisierte Version überprüft, ob und welche der von ihm gemeldeten Sicherheitslücken inzwischen geschlossen wurden. Coronic verlautbart im Blog, dass etwa "die Lücke zum Aussortieren der Tastaturanschläge" darin geschlossen wurde. Die Fehlerbehebung ist jedoch unvollständig. Das Keylogging-Testskript der c't funktionierte mit nur minimaler Anpassung wieder: Anstelle von "Tasten heruntergedrückt" reagierte es jetzt auf "Taste losgelassen".

Eine weitere Schwachstelle war eine fehlende oder fehlerhafte Signaturprüfung, durch die es c't gelang, eine ausführbare Datei aus dem Arbeitsverzeichnis von S-Protect durch eine eigene, unsignierte Dateien zu ersetzen. Diese wurde daraufhin ehemals von S-Protect ausgeführt. Diesen Fehler hat Coronic nachvollziehbar behoben.

Ferner hat das Unternehmen den Screenshot-Schutz von S-Protect inzwischen auch auf die virtuelle Tastatur ausgedehnt. Diese Bildschirmtastatur soll vor Keylogging schützen, bisher ließen sich die Eingaben jedoch mit einfachen Mitteln durch Screenshots aufzeichnen. Durch den Schutz erscheint die Tastatur jetzt geschwärzt auf Aufnahmen. Allerdings lässt sich diese Schwärzung verhindern, wie c't bereits in der ursprünglichen Analyse dokumentiert hatte.

Schlingernde Argumentationen

Die Argumentationen von Coronic in der Stellungnahme verfangen nicht in jedem Fall. So erläutert Coronic etwa, dass beim Speichern der Fensterinhalte etwa als PDF bei einer Fernwartungsverbindung der Angriff ja bereits vorher stattfand, als die Fernwartung installiert wurde. Das ist richtig, und genau die Situation, die dem ursprünglichen Werbeversprechen entspricht: Ein Angreifer hat den Rechner infiltriert, dennoch solle das Online-Banking mit S-Protect sicher sein.

Weiter schreibt der S-Protect-Hersteller in seinem Blog: "Ein weiterer Kritikpunkt ist das Finden eines bereits bekannten Kennworts im Arbeitsspeicher. Wenn das Kennwort bereits bekannt ist, ist der Angriff schon vorher erfolgt." Diese Aussage wirft mehr Fragen auf als sie beantwortet. Denn anscheinend ist dem Hersteller nicht bewusst, dass S-Protect die Banking-Zugangsdaten nach einem bestimmten Muster im Arbeitsspeicher ablegt, wenn sich der Nutzer bei einer Bank einloggt. Anhand dieses Musters konnte c't die Zugangsdaten auch bei der Nutzung von S-Protect 5.4.18.0 reproduzierbar im Klartext finden, ohne nach Benutzername oder Zugangs-PIN gesucht zu haben.

Von dem Bericht des c't-Investigativteams ist Coronic offenbar wenig begeistert: "Aussagen in dem Artikel sind zweifelhaft oder irreführend. Das Produkt, seine Zielsetzung und seine Funktion wurden nicht richtig verstanden und fehlerhaft wiedergegeben." Allerdings wurden die Werbeversprechen auf der Webseite derweil durch den Hersteller entschärft.

Mit der Wayback-Machine lassen sich die Änderungen nachvollziehen. So wurde aus dem Stand vom 20.05.2022 "Mit PROTECT Produkten lässt sich auf jedem PC und jedem mobilen Gerät sicher arbeiten – auch wenn das Betriebssystem bereits kompromittiert ist." die abgeschwächte Version seit dem 04.06.2022 "Mit PROTECT Produkten lässt sich auf jedem PC sicherer arbeiten – auch wenn das Betriebssystem potenziell kompromittiert ist."

Reaktionen der Sparkassen

Die Sparkasse am Niederrhein bietet den Browser nicht mehr öffentlich für alle an, sondern hat ein Kundenlogin davor geschaltet. Die Kieler Förde Sparkasse hat unterdessen vorsorglich den Hinweis entfernt, "dass S-Protect sogar auf infizierten Computern sichereres Online-Banking ermöglicht".

Unklar bleibt weiterhin, wie intensiv der Sparkasse-Browser durch den Deutsche Sparkassen- und Giro-Verband (DGSV) überprüft wurde, bevor er für die Bankkunden freigegeben wurde. Der Verband hatte gegenüber c’t erklärt, dass S-Protect vom Sicherheitsteam der Sparkassen-Finanzgruppe (S-CERT) überprüft wurde, bevor die Vereinbarung mit dem Hersteller zustande gekommen ist. Das Ergebnis hatte der DSGV jedoch offengelassen.

Nach einer erneuten Anfrage gab der Sparkassen-Verband nun weitere Details heraus. Demnach haben die Sicherheitsexperten bei dem Security-Audit mehrere Mängel entdeckt: "S-CERT hat im Oktober vergangenen Jahres die damals aktuelle Version des Protect-Browsers des Herstellers Coronic einer Prüfung unterzogen. Dabei wurden Schwachstellen festgestellt", erklärte der DSGV. Diese Schwachstellen hat der Verband nach eigenen Angaben zur Bearbeitung an den Hersteller weitergegeben.

Auf die Frage, ob der Hersteller die damals entdeckten Sicherheitsmängel auch beseitigt habe, antwortete der Sparkassen-Verband: "Nach unserer Kenntnis ist der Hersteller Coronic diesen Hinweisen nachgegangen." Ob es danach zu einer erneuten Prüfung durch das S-CERT kam, ließ der Verband bislang unbeantwortet.

(dmk)