Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung

22. August 2013 Kategorie: Backup & Security, Internet, geschrieben von: Gastautor

Online-Banking ist schnell und bequem – früher musste man zum Prüfen des Kontostands oder zum Einreichen von Überweisungen zur Bank gehen, inzwischen erledigt etwa die Hälfte aller Deutschen Ihre Bankgeschäfte über das Internet. Das grün hinterlegte Schloss in der Adresszeile des Browsers suggeriert eine sichere Verbindung zur Bank – aber wie sicher ist diese wirklich?

Enigma-590x581

Für das Online-Banking baut der Browser in der Regel eine verschlüsselte TLS-Verbindung zur Bank auf. Früher wurde an Stelle des TLS-Protokolls der Vorgänger SSL verwendet, dieser ist heutzutage aber kaum noch im Einsatz. Sofern die Bank dem Browser mit ihrem TLS-Zertifikat belegen kann, dass sie echt ist, zeigt dieser das erwähnte grün hinterlegte Schloss an. Über die Qualität des verwendeten Verschlüsselungsverfahrens sagt dies jedoch nichts aus.

Tatsächlich existieren drei Versionen des TLS-Protokolls: Version 1.0 von 1999, Version 1.1 von 2006 und Version 1.3 von 2008. Diese können mit einer Reihe verschiedener Verschlüsselungsverfahren kombiniert werden, wobei viele Kombinationen inzwischen als unsicher gelten. Welches Verfahren zum Einsatz kommt, handeln der Browser und das Online-Banking-Portal individuell aus. Hierzu tauschen sie sich beim Verbindungsaufbau darüber aus, welche Verschlüsselungsverfahren sie jeweils unterstützen und einigen sich im Idealfall auf den kleinsten gemeinsamen Nenner. Durch eine pfiffige Konfiguration ihrer Server können Banken ausschließen, dass hierbei unsichere Verfahren zum Einsatz kommen. Tun sie das auch?

Die Antwort fällt ernüchternd aus: Jedes zweite untersuchte Online-Banking-Portal zeigt Mängel. Etliche Banken setzen noch auf Sicherheitstechnik aus dem vergangenen Jahrtausend und unterstützen lediglich die TLS-Version 1.0. Diese ist nur in Verbindung mit dem RC4-Verschlüsselungsverfahren halbwegs sicher. In Kombination mit allen anderen Verfahren ist die Verbindung mittels BEAST-Attacke angreifbar, in der ein Angreifer den arglosen Online-Banker unter idealen Bedingungen lediglich zum Anklicken eines präparierten Links bewegen muss, um anschließend seine Banking-Sitzung übernehmen zu können – siehe http://youtu.be/BTqAIDVUvrU. Da auch RC4 nicht mehr als uneingeschränkt sicher gilt, ist es ratsamer, auf TLS 1.0 wo möglich zu verzichten und auf TLS 1.2 mit 3DES-, AES oder Camellia-Verschlüsselung zu setzen.

Die Online-Banking-Portale der Bank of Scotland, von Credit Europe, der Deutschen Bank, der Hamburger Sparkasse, der Norisbank und der Targobank sind nahezu unabhängig vom verwendeten Browser anfällig für die BEAST-Attacke, da sie TLS 1.0 in Kombination mit anderen Verfahren als RC4 vermitteln. Surfer, die mit dem Firefox oder älteren Versionen sonstiger Browser unterwegs sind, sind der gleichen Gefahr bei der DAB Bank und der ING DiBa ausgesetzt. Ältere Browser-Versionen sind auch bei Cortal Consors und einigen „kleineren“ Volksbanken betroffen.

Bildschirmfoto 2013-08-22 um 15.21.32

Das es auch anders geht, zeigt das Online-Banking der comdirect-Bank, welches mit allen Browsern die jeweils nahezu höchsten unterstützten Verschlüsselungsverfahren aushandelt. Bezogen auf Chrome 29, Internet Explorer 11, Opera 15 und Safari 7 gilt das durchaus auch für die DAB Bank und die ING DiBa, weshalb es noch unverständlicher ist, dass diese den Firefox und ältere Browsern außer Acht lassen. Beschränkt auf Chrome 29, Internet Explorer 11 und Safari 7 machen auch die Commerzbank, die DKB Bank, die Nord/LB sowie die getesteten „kleineren“ Sparkassen einen guten Eindruck. Hier möchte man der Hamburger Sparkasse raten, sich mal mit ihren Kollegen zusammenzusetzen.

Fairerweise muss man sagen, dass die Hersteller der Browser nicht ganz unschuldig an der Misere sind. Obwohl TLS 1.2 schon seit 2008 verabschiedet ist, wurde es in die gängigen Browser erst in den letzten Monaten integriert. Im Firefox-Browser ist die Unterstützung von TLS 1.2 zwar enthalten, aber selbst in der aktuellen Version 23 per Voreinstellung deaktiviert. Das derzeit als am sichersten geltende TLS-Verschlüsselungsverfahren TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 ist im Augenblick in keinem populären Browser implementiert.

Wie es um die Sicherheit des Online-Bankings der eigenen Bank steht, kann man besonders leicht im Chrome-Browser herausfinden. Hier genügt ein Klick auf das grüne Schloss-Symbol in der Adressleiste, um anschließend auf dem Reiter „Connection“ das verwendete Verfahren ablesen zu können. TLS 1.0 in Verbindung mit einer Verschlüsselung, die nicht mit „RC4“ beginnt, ist gar nicht gut. Optimal ist TLS 1.2 zusammen mit „3DES“, „AES“ oder „Camellia“. Zusätzliche Sicherheit bringt der Schlüsselaustausch per „Perfect Forward Secrecy“ (PFS), welcher ein nachträgliches Entschlüsseln einer zuvor mitgeschnittenen Online-Sitzung deutlich erschwert. Diesen erkennt man an Kürzel wie „DHE_RSA“ oder „ECDHE-RSA“.

db

commerzbank

Alternativ lässt sich die Sicherheit des verwendeten SSL-/TLS-Verfahrens auf den Testseiten der Qualys SSL Labs unter https://www.ssllabs.com/ssltest/ untersuchen, welche die Grundlage für diesen Test bildeten. Dort gibt man die zu prüfende Adresse ein, etwa „meine.bank.de“ und klickt auf „Submit“. Welche Verschlüsselungsverfahren eine Auswahl von Browsern aushandelt, wird unter „Handshake Simulation“ aufgeführt. Bei aktiver PFS wird die zugehörige Zeile in grün mit dem Kürzel „FS“ gekennzeichnet.

hs

Abschließend bleibt zu appellieren, das Thema TLS-Sicherheit insbesondere auf Seiten der Banken, aber auch auf Seiten der Hersteller von Browsern stärker in den Fokus zu rücken. Warum setzen neun von 23 Banken im Jahr 2013 Sicherheitstechnik aus dem Jahr 1999 ein? Warum steht die Implementierung neuer Verschlüsselungsverfahren im Backlog der Browserhersteller nicht weiter oben?

Bildquelle 1: (Bildquelle: Enigma Rotor Set von brewbooks unter CC BY-SA 2.0)

Gastbeitrag von Jan Nolte: Informatiker, arbeitet in der IT und hat damit sein Hobby zum Beruf gemacht.


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch dieses Advertorial an, welches auf einer separate Unterseite geschaltet wurde: Sony startet mit 4K Ultra HD durch

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Gastautor

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Der hat bereits 14 Artikel geschrieben.