VR Protect

2014-09-10

Die ultimative Sicherheit gibt es natürlich nicht, was die Volksbank aber nicht davon abhält ein Produkt als solches zu bewerben. Nicht wortwörtlich. Wer sich das Werbevideo zu VR-Protect anschaut, muss aber zu diesem Eindruck kommen.

Da stolpere ich beim Onlinebanking über VR-Protect. Hmm? Das Werbevideo und die Produktinfo verspricht hier ja ein tolles Stück Software mit der nur die URL des Onlinebanking aufgerufen werden kann und so vor Angriffen schützen soll. Ich habe aber bedenken und formuliere eine eMail an die Volksbank. Ich frage mich warum die neue Sicherheit nur Windowsnutzern vorbehalten ist (ok, die haben sie auch nötig), warum IE benötigt wird (API Call’s von Code der nicht unter der eigenen Kontrolle liegt), wie das Programm vor DNS Manipulationen geschützt ist … und wie sichergestellt wird, das das Programm selber nicht kompromittiert wurde und das halte ich für die größte Schwachstelle. Ein paar Tage später erhielt ich auch eine Antwort, ich vermute nur der form halber. In der heißt es dann […] aus Sicherheitsgründen können wir nur allgemein beantworten […] ähm ja, ich hatte jetzt auch nicht die Blaupausen erwartet. […] vermuteten Angriffspunkte wurden bei der Entwicklung berücksichtigt … blah … unabhängigen Sicherheitslabor bestätigt […]

Na dann ist ja alles klar. Das vermittelt mir jetzt ein völlig neues Gefühl von Sicherheit.

In der eMail wird zum Schluss noch erwähnt, das es sich um einen sogenannten „gehärteten Browser“ handelt. Ein Begriff den ich bis dato noch nie gehört hatte. Eine Internetsuche ergibt als ersten Treffer einen Verweis auf die Firma Coronic, offensichtlich die Entwickler der VR-Protect Software. Alle weiteren Treffer haben irgendwie einen Bezug zu dieser Software. Entweder wurde der Begriff durch diese Firma erfunden oder er wird im normalen Sprachgebrauch selten verwendet. Die Hausseite der Firma ist eine klassische Firmenseite bei der ich allerdings nicht erkennen kann was sie genau qualifiziert. Gehostet wird das ganze bei 1&1. Wir errinnern uns. Das gehört zu United Internet und das waren die Kasper die uns E-Mail Made in Germany verkaufen wollten. Der Internetauftritt ist nicht zwingend ein Rückschluss auf die Qualität der Firma, bestärkt aber auch nicht mein Vertrauen.

Und dann bleibt noch die Frage, welches Sicherheitslabor hat hier was bestätigt? Wenn ich eine Software zertifizieren oder prüfen lassen, dann sollte diese Information auch prüfbar sein. Weder die Software Firma noch die Volksbank stellt diese Information öffentlich zur Verfügung. Ist wahrscheinlich auch streng geheim.

Fazit. Es gibt eine Windowssoftware die die Sicherheit beim Onlinebanking erhöhen soll und die Aussage „yo, ist schon sicher“. Für mich ist das kein Sicherheitsgewinn, sondern eine neue Schwachstelle.