So funktioniert E-Mail nicht, HSBC

 (danq.me)
1 Punkte von GN⁺ 2026-01-30 | 1 Kommentare | Auf WhatsApp teilen
  • HSBC verschickte an Kunden fälschlicherweise Benachrichtigungen, ihre E-Mails seien „zurückgekommen“, weil die Bank den Empfang von E-Mails anhand von Tracking-Pixeln beurteilte. Tatsächlich erhielten die Kunden die Nachrichten ganz normal.
  • Die Bank forderte Kunden auf, ihre E-Mail-Adresse zu aktualisieren, obwohl im Kundenkonto bereits die korrekte Adresse hinterlegt war.
  • Eine Analyse zeigte, dass HSBCs E-Mails HTTP-basierte Tracking-Pixel enthielten, die das Risiko bergen, personenbezogene Informationen wie Zeitpunkt des Empfangs, Häufigkeit und IP-Adresse offenzulegen.
  • Da Tracking-Pixel bei blockierten Inhalten nicht funktionieren, gilt es als technischer Fehlgebrauch, wenn die Bank daraus auf eine „nicht zugestellte“ E-Mail schloss.
  • HSBC sollte auf den Verzicht auf unverschlüsseltes Tracking, mehr Respekt für die Privatsphäre und klare Kundenkommunikation umstellen.

HSBCs fehlerhafte Benachrichtigung über unzustellbare E-Mails

  • HSBC verschickte postalische Mitteilungen an Kunden mit der Aufforderung, ihre Adresse zu aktualisieren, weil „eine E-Mail zurückgekommen“ sei.
    • Der Kunde empfing und öffnete HSBCs E-Mails tatsächlich ganz normal.
    • Eine Prüfung des Online-Kontos zeigte, dass die hinterlegte E-Mail-Adresse korrekt war.
  • Im Chat mit dem Kundenservice kam zunächst nur die formelhafte Antwort, dass die Adresse geändert werden müsse, wenn die Bank einen Brief geschickt habe.
    • Erst im Telefongespräch hieß es dann, man könne den Brief ignorieren, wenn die Adresse korrekt sei.
  • Der Autor schlug HSBC vor, die Formulierung statt „Handlungsbedarf“ auf „Adressprüfung erforderlich“ zu ändern.

Aufbau und Probleme von E-Mail-Tracking-Pixeln

  • Am Ende von HSBCs E-Mails befanden sich zwei 1×1 Pixel große Bildcodes.
    • Diese Pixel dienen als Tracking-Mechanismus, der beim Öffnen der E-Mail den Server kontaktiert und den Abruf protokolliert.
  • HSBC übertrug diese Pixel über das HTTP-Protokoll, was eine Sicherheitslücke schafft, durch die Dritte im Netzwerk erkennen könnten, dass die Nachricht geöffnet wurde.
    • In öffentlichem WLAN könnten andere Nutzer im selben Netzwerk diese Information möglicherweise mitbekommen.
  • Außerdem wird auf das Risiko hingewiesen, dass Angreifer am Ende einer E-Mail Bilder einfügen und sie so als Phishing-Nachricht fälschen könnten.

Unzuverlässigkeit und Fehlgebrauch von Tracking-Pixeln

  • Der Autor verwendet eine Einstellung zum Blockieren von Tracking-Pixeln und sendet daher keine Informationen über das Öffnen von E-Mails.
    • Das entspricht der ursprünglichen Funktionsweise von E-Mail, bei der Empfänger selbst entscheiden können, ob sie ihren Abruf offenlegen.
  • HSBC scheint das Ausbleiben des Pixel-Signals fälschlich als „E-Mail nicht empfangen“ interpretiert und die Nachricht daher als unzustellbar behandelt zu haben.
    • Das ist ein Fall, in dem Tracking-Pixel nicht für statistische Auswertungen, sondern missbräuchlich zur Identifizierung einzelner Kunden eingesetzt wurden.
  • Damit verschickte HSBC letztlich eine falsche Benachrichtigung, die behauptete, die E-Mail sei zurückgekommen.

Vorgeschlagene Verbesserungen für HSBC

  • Unverschlüsseltes (HTTP-)Tracking beenden: Um eine Offenlegung im Netzwerk beim Öffnen von E-Mails zu verhindern, sollte HTTPS verwendet werden.
  • Tracking-Blockierung nicht als Empfangsverweigerung behandeln: Das Scheitern eines Pixels kann viele technische Ursachen haben.
  • Überwachung der E-Mail-Gewohnheiten von Kunden beenden: Eine Bank, die bereits genügend personenbezogene Daten besitzt, braucht keine zusätzliche Überwachung.
  • E-Mail-Validierung durch direkte Bestätigung durchführen: Empfehlenswert sind Verfahren auf Basis ausdrücklicher Zustimmung wie das Klicken auf einen Bestätigungslink.
  • Grundsätze der Datenethik einhalten: Entsprechend HSBCs veröffentlichten Prinzipien zur „ethischen Nutzung von Daten und AI“ müssen Zweckmäßigkeit und Transparenz sichergestellt werden.

Fazit

  • HSBC hat die Grenzen der Zuverlässigkeit von Tracking-Pixeln missverstanden und dadurch Kunden-E-Mails falsch beurteilt.
  • Der Fall zeigt, dass überwachungskapitalistische Praktiken der Datensammlung inzwischen sogar in den Betrieb von Finanzinstituten eingedrungen sind.
  • Der Autor betont, dass HSBC den technischen Fehler anerkennen und transparenten Dateneinsatz sowie den Schutz der Privatsphäre von Kunden stärken sollte.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-30
Hacker-News-Kommentare

  • Es fiel auf, dass 2026 noch Inhalte über HTTP ausgeliefert wurden
    Das hätte bei einer ordentlichen Sicherheitsprüfung auffallen müssen, aber dieser Schritt scheint komplett ausgelassen worden zu sein
    Ich arbeite mit Bankdaten, und die internen Systeme sind genauso chaotisch
    Selbst innerhalb derselben Bank sind CSV-Datumsformate uneinheitlich, und Transaktionsbeschreibungen sind auf abgeschnittene Strings reduziert und nicht standardisiert
    Dass der Zustand trotz dieses enormen regulatorischen Drucks noch immer so ist, liegt daran, dass die meisten Banken ihre digitale Infrastruktur wie alte Rohrleitungen behandeln

    • Ich habe auch mit Bankdaten gearbeitet, und tatsächlich gibt es mit OFX ein Standardformat
      Aber jede Bank schneidet Memos unterschiedlich ab oder vertauscht wie AMEX die Felder NAME und MEMO, also ist es trotzdem ein Durcheinander
      Immerhin existiert wenigstens ein Mindestmaß an Standardisierung
      Relevante Dokumente: Open Financial Exchange, Financial Data Exchange
    • Banken kümmern sich nicht besonders um die Online-Banking-UI
      Selbst die ATM-Oberflächen wirken genauso veraltet
    • Tatsächlich wird HTTP oft absichtlich verwendet
      Zum Beispiel nutzen ACME HTTP-01 Challenges, Zertifikatsausstellung sowie CRL/OCSP-Antworten weiterhin HTTP
      Siehe RFC8555, Let's-Encrypt-Dokumentation
      Deshalb ist die Verallgemeinerung „HTTP ist inzwischen nutzlos“ schlicht falsch
    • Ich bin mir nicht sicher, ob HTTP in diesem Fall wirklich das Problem ist
      Auch bei HTTPS wird SNI ausgetauscht, also ist erkennbar, wer mit HSBC kommuniziert
      Der Rest der URL ist nur eine anonymisierte Tracking-ID, daher scheint die tatsächliche Bedrohung gering zu sein
    • Wahrscheinlich hat ein Drittdienst für E-Mail-Tracking die Inhalte über HTTP ausgeliefert
      Mit HTTPS wären Konfiguration und Zertifikatsverwaltung komplizierter gewesen

  • Ich habe mich gefragt, warum so etwas passiert ist
    In der Bank-IT sind an der Einführung selbst einer einzigen solchen E-Mail-Tracking-Funktion Dutzende Leute beteiligt, und das dauert leicht ein Jahr
    Irgendwo in diesem Prozess wird es sicher einen Entwickler gegeben haben, der sagte, „HTTP ist 2026 riskant“, aber vermutlich wurde das von mittleren Managern ignoriert

    • Ich habe bei FAANG auch ein Team unterstützt, das E-Mail-Inhalte erstellt hat, und selbst nach unzähligen Erklärungen, dass Open-Tracking nicht verlässlich ist, hat niemand zugehört
      Das Management fragte ständig, warum manche Leute eine Mail geöffnet hätten, ohne dass das protokolliert wurde, und warum andere sie angeblich geöffnet hätten, obwohl sie es nicht getan hatten
      Die Autoren nutzten Öffnungsraten als Erfolgskennzahl, weil sie höher ausfallen als Klickraten
      Am Ende verwenden alle ungenaue Metriken, damit sich jeder einreden kann, gute Arbeit zu leisten
    • Sicher gibt es kompetente Leute, aber die meisten technischen Rollen bei Großbanken sind völlig demotiviert
      Das Management trifft alle Entscheidungen, und Entwickler tun einfach, was ihnen gesagt wird
      Ich habe selbst einmal bei einer Großbank gearbeitet, und wer nicht nach ein paar Jahren geht, bleibt einfach jemand, der „Knöpfe drückt und Gehalt kassiert“
    • Trotzdem finde ich es besser, wenigstens Benachrichtigungen per E-Mail zu bekommen
      Das ist deutlich besser als Mails nach dem Muster „Sie haben eine wichtige Nachricht, bitte loggen Sie sich ein“
    • Ich denke, dieses Phänomen ist ein „state of the practice“
      Komfortfunktionen wie bei Apartment-Apps werden nach und nach verpflichtend, bis am Ende alle Nutzer sich fügen müssen
      Dabei nimmt die individuelle Kontrolle ab
    • Ehrlich gesagt gibt es unter solchen Bedingungen keinen Grund für fähige Entwickler, bei einer Bank zu bleiben
      Weder Gehalt noch Umfeld sind besonders gut, und Spielraum für Innovation gibt es kaum

  • NAB Australia macht genau das Gleiche
    Wenn man in E-Mails keine Remote-Bilder lädt, schicken sie per Post, dass „die E-Mail nicht zugestellt wird“, und stellen auf Papierauszüge um
    Dabei kamen die E-Mails ganz normal an

    • Ich hatte bei Capital One etwas Ähnliches
      Dort wurden Kontostandswarnungen automatisch deaktiviert, weil man annahm, ich würde E-Mails nicht lesen
      Dabei hatte ich nur Lesebestätigungen deaktiviert und Remote-Ressourcen blockiert
      Am Ende habe ich die Bank gewechselt
    • Banken müssen zwar prüfen, ob Kunden E-Mails erhalten, aber normale Post ist noch unzuverlässiger
      Briefkästen in Apartmentanlagen werden oft falsch beliefert oder bestohlen, und manchmal brennen sie sogar ab

  • Früher bekam ich Marketing-Spam von Bank of America, aber es gab keine Option zum Abbestellen
    Also habe ich diese E-Mail-Adresse deaktiviert, woraufhin sie per Post darum baten, sie zu aktualisieren, weil „E-Mails zurückkommen“
    Am Ende ließ ich sie jahrelang deaktiviert, bis es später endlich eine Funktion für E-Mail-Einstellungen gab
    Meine Frau bekommt noch immer Spam-Post von Citi, und auch dort gibt es keine Möglichkeit zum Abbestellen
    Wenn man das sieht, ist es wirklich dumm, dass das HSBC-IT-Team aus einem Tracking-Pixel geschlossen hat, eine Mail sei nicht gelesen worden
    Die meisten E-Mail-Clients blockieren Bilder heute standardmäßig

  • HSBCs technische Kompetenz ist wirklich miserabel
    Die Online-Banking-App ist auf dem Niveau der frühen 2000er, und ein Familienmitglied nutzt sie noch immer und stößt ständig auf Fehler
    Das sind keine Bedienfehler, sondern Systemprobleme

  • Wenn man erreichen will, dass eine Bank zuhört, ist das Schließen des Kontos am wirksamsten
    Natürlich nur, wenn man wirklich bereit ist zu wechseln

    • Aber Banken verdienen heute nicht mehr wirklich Geld mit Konten, daher richtet eine Kündigung kaum Schaden an
    • Stattdessen ist eine Meldung an die Aufsichtsbehörde deutlich wirksamer
      Wenn das Problem offiziell dokumentiert wird, kann bei Wiederholungen eingegriffen werden
    • Tatsächlich hat HSBC auch schon selbst völlig normale Konten geschlossen
      Siehe Artikel im Guardian
      Ich war damals ebenfalls betroffen und bin danach zu Wise gewechselt

  • Capital One macht etwas Ähnliches
    Immerhin wird klar gesagt, dass man „in letzter Zeit keine E-Mails geöffnet“ habe, sodass man wenigstens versteht, was gemeint ist
    Tatsächlich hatte ich die E-Mails geöffnet, aber nur das Tracking-Pixel blockiert

    • Wenn mir derselbe Wortlaut begegnet, lasse ich solche Mails per Gmail-Regel automatisch löschen
      Ich sehe keinen Grund, ihr Problem für sie zu lösen

  • Gmail lädt Bilder im Voraus herunter, daher wird das Tracking-Pixel in der Praxis auch dann aufgerufen, wenn der Nutzer die Mail gar nicht öffnet

    • Ich habe das einmal in einem Unterricht zu Technikethik für Oberstufenschüler mit einem Gmail-Konto demonstriert und war überrascht, dass es tatsächlich funktioniert
    • Bei Apple Mail oder den meisten Webmail-Diensten ist es genauso, daher ist ein Öffnungssignal fast bedeutungslos
    • Ich habe gehört, dass Gmail beim Versand desselben Bildes an viele Empfänger heuristische Filterung anwendet
      Ich habe das nicht selbst getestet, aber andere Mail-Dienste dürften Ähnliches tun
    • Wenn Gmail Bilder herunterlädt, ist das als GoogleImageProxy erkennbar, und die Anfragen kommen aus einem GCP-ASN
      Da die meisten E-Mail-Dienste Bilder serverseitig vorab laden, um auf Malware zu prüfen, wird Pixel-Tracking in der Praxis fast immer vom externen E-Mail-Service-Provider verarbeitet

  • Ich habe bei HSBC exakt dasselbe erlebt
    Der Prozess war hervorragend: Kontoeröffnung mit digitalem Ausweis in 10 Minuten, und schon nach einem Tag hatte ich die Apple-Pay-Karte
    Aber nachdem ich Marketing-E-Mails abgelehnt hatte, schickten sie eine „Willkommens-Upsell“-Mail, und als diese zurückkam, sperrten sie das Konto
    Am Ende war ich in derselben Situation wie der OP

  • Charles Schwab ist ähnlich
    Obwohl E-Mails problemlos ankommen, wird behauptet, sie seien „nicht zustellbar“, und man stellt auf Papierauszüge um
    Das eigentliche Problem ist die Blockierung des Tracking-Pixels

    • Ich habe wohl dasselbe Problem bei Fidelity
      E-Mails an eine benutzerdefinierte Domain schlagen fehl, aber eine ProtonMail-Adresse funktioniert problemlos
      Vermutlich, weil ProtonMail das Tracking-Pixel nicht blockiert
    • Capital One genauso
      Inzwischen ignoriere ich es einfach
      Papierpost kostet sie Geld, also werden sie es irgendwann schon merken