Im März diesen Jahres war die Postbank wegen angeblicher Mängel im Online-Banking in die Schlagzeilen geraten. Bisher wurden die Sitzungen nur mittels einer SessionID innerhalb der URL abgesichert. Wenn sich ein Kunde nicht ordnungsgemäß ausgeloggt, sondern nur den Browser geschlossen hatte, blieb diese SessionID noch eine gewisse Zeit gültig.
Hin und wieder hatten unbedarfte Kunden wohl Überweisungsnachweise per Screenshot an Geschäftspartner verschickt, in denen die URL inklusive der SessionID zu sehen war.
Mit dieser war dann zumindest lesender Zugriff auf die Kontodaten des Kunden möglich.

Auf dieses Problem angesprochen, gelobte die Postbank Besserung - und hielt auch Wort:
Ab sofort sind die Banking-Sitzungen der Kunden noch zusätzlich durch ein Session-Cookie gesichert, welches lokal abgelegt wird.

Wie man oben sehen kann, mussten schon mehrere Faktoren zusammen kommen, damit ein Fremder tatsächlich auf die Kontodaten zugreifen konnte - dennoch sei an dieser Stelle nochmals allgemein darauf hingewiesen: Beim Online-Banking immer korrekt abmelden, nicht einfach das Browserfenster schließen! Außerdem bei der Weitergabe von Screenshots z.B. als Überweisungsbeleg genau darauf achten, dass auch nur das zu sehen ist, was den Empfänger auch etwas angeht.