Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung

22. August 2013 Kategorie: Backup & Security, Internet, geschrieben von: Gastautor

Online-Banking ist schnell und bequem – früher musste man zum Prüfen des Kontostands oder zum Einreichen von Überweisungen zur Bank gehen, inzwischen erledigt etwa die Hälfte aller Deutschen Ihre Bankgeschäfte über das Internet. Das grün hinterlegte Schloss in der Adresszeile des Browsers suggeriert eine sichere Verbindung zur Bank – aber wie sicher ist diese wirklich?

Enigma-590x581

Für das Online-Banking baut der Browser in der Regel eine verschlüsselte TLS-Verbindung zur Bank auf. Früher wurde an Stelle des TLS-Protokolls der Vorgänger SSL verwendet, dieser ist heutzutage aber kaum noch im Einsatz. Sofern die Bank dem Browser mit ihrem TLS-Zertifikat belegen kann, dass sie echt ist, zeigt dieser das erwähnte grün hinterlegte Schloss an. Über die Qualität des verwendeten Verschlüsselungsverfahrens sagt dies jedoch nichts aus.

Tatsächlich existieren drei Versionen des TLS-Protokolls: Version 1.0 von 1999, Version 1.1 von 2006 und Version 1.3 von 2008. Diese können mit einer Reihe verschiedener Verschlüsselungsverfahren kombiniert werden, wobei viele Kombinationen inzwischen als unsicher gelten. Welches Verfahren zum Einsatz kommt, handeln der Browser und das Online-Banking-Portal individuell aus. Hierzu tauschen sie sich beim Verbindungsaufbau darüber aus, welche Verschlüsselungsverfahren sie jeweils unterstützen und einigen sich im Idealfall auf den kleinsten gemeinsamen Nenner. Durch eine pfiffige Konfiguration ihrer Server können Banken ausschließen, dass hierbei unsichere Verfahren zum Einsatz kommen. Tun sie das auch?

Die Antwort fällt ernüchternd aus: Jedes zweite untersuchte Online-Banking-Portal zeigt Mängel. Etliche Banken setzen noch auf Sicherheitstechnik aus dem vergangenen Jahrtausend und unterstützen lediglich die TLS-Version 1.0. Diese ist nur in Verbindung mit dem RC4-Verschlüsselungsverfahren halbwegs sicher. In Kombination mit allen anderen Verfahren ist die Verbindung mittels BEAST-Attacke angreifbar, in der ein Angreifer den arglosen Online-Banker unter idealen Bedingungen lediglich zum Anklicken eines präparierten Links bewegen muss, um anschließend seine Banking-Sitzung übernehmen zu können – siehe http://youtu.be/BTqAIDVUvrU. Da auch RC4 nicht mehr als uneingeschränkt sicher gilt, ist es ratsamer, auf TLS 1.0 wo möglich zu verzichten und auf TLS 1.2 mit 3DES-, AES oder Camellia-Verschlüsselung zu setzen.

Die Online-Banking-Portale der Bank of Scotland, von Credit Europe, der Deutschen Bank, der Hamburger Sparkasse, der Norisbank und der Targobank sind nahezu unabhängig vom verwendeten Browser anfällig für die BEAST-Attacke, da sie TLS 1.0 in Kombination mit anderen Verfahren als RC4 vermitteln. Surfer, die mit dem Firefox oder älteren Versionen sonstiger Browser unterwegs sind, sind der gleichen Gefahr bei der DAB Bank und der ING DiBa ausgesetzt. Ältere Browser-Versionen sind auch bei Cortal Consors und einigen „kleineren“ Volksbanken betroffen.

Bildschirmfoto 2013-08-22 um 15.21.32

Das es auch anders geht, zeigt das Online-Banking der comdirect-Bank, welches mit allen Browsern die jeweils nahezu höchsten unterstützten Verschlüsselungsverfahren aushandelt. Bezogen auf Chrome 29, Internet Explorer 11, Opera 15 und Safari 7 gilt das durchaus auch für die DAB Bank und die ING DiBa, weshalb es noch unverständlicher ist, dass diese den Firefox und ältere Browsern außer Acht lassen. Beschränkt auf Chrome 29, Internet Explorer 11 und Safari 7 machen auch die Commerzbank, die DKB Bank, die Nord/LB sowie die getesteten „kleineren“ Sparkassen einen guten Eindruck. Hier möchte man der Hamburger Sparkasse raten, sich mal mit ihren Kollegen zusammenzusetzen.

Fairerweise muss man sagen, dass die Hersteller der Browser nicht ganz unschuldig an der Misere sind. Obwohl TLS 1.2 schon seit 2008 verabschiedet ist, wurde es in die gängigen Browser erst in den letzten Monaten integriert. Im Firefox-Browser ist die Unterstützung von TLS 1.2 zwar enthalten, aber selbst in der aktuellen Version 23 per Voreinstellung deaktiviert. Das derzeit als am sichersten geltende TLS-Verschlüsselungsverfahren TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 ist im Augenblick in keinem populären Browser implementiert.

Wie es um die Sicherheit des Online-Bankings der eigenen Bank steht, kann man besonders leicht im Chrome-Browser herausfinden. Hier genügt ein Klick auf das grüne Schloss-Symbol in der Adressleiste, um anschließend auf dem Reiter „Connection“ das verwendete Verfahren ablesen zu können. TLS 1.0 in Verbindung mit einer Verschlüsselung, die nicht mit „RC4“ beginnt, ist gar nicht gut. Optimal ist TLS 1.2 zusammen mit „3DES“, „AES“ oder „Camellia“. Zusätzliche Sicherheit bringt der Schlüsselaustausch per „Perfect Forward Secrecy“ (PFS), welcher ein nachträgliches Entschlüsseln einer zuvor mitgeschnittenen Online-Sitzung deutlich erschwert. Diesen erkennt man an Kürzel wie „DHE_RSA“ oder „ECDHE-RSA“.

db

commerzbank

Alternativ lässt sich die Sicherheit des verwendeten SSL-/TLS-Verfahrens auf den Testseiten der Qualys SSL Labs unter https://www.ssllabs.com/ssltest/ untersuchen, welche die Grundlage für diesen Test bildeten. Dort gibt man die zu prüfende Adresse ein, etwa „meine.bank.de“ und klickt auf „Submit“. Welche Verschlüsselungsverfahren eine Auswahl von Browsern aushandelt, wird unter „Handshake Simulation“ aufgeführt. Bei aktiver PFS wird die zugehörige Zeile in grün mit dem Kürzel „FS“ gekennzeichnet.

hs

Abschließend bleibt zu appellieren, das Thema TLS-Sicherheit insbesondere auf Seiten der Banken, aber auch auf Seiten der Hersteller von Browsern stärker in den Fokus zu rücken. Warum setzen neun von 23 Banken im Jahr 2013 Sicherheitstechnik aus dem Jahr 1999 ein? Warum steht die Implementierung neuer Verschlüsselungsverfahren im Backlog der Browserhersteller nicht weiter oben?

Bildquelle 1: (Bildquelle: Enigma Rotor Set von brewbooks unter CC BY-SA 2.0)

Gastbeitrag von Jan Nolte: Informatiker, arbeitet in der IT und hat damit sein Hobby zum Beruf gemacht.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Gastautor

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Der hat bereits 7 Artikel geschrieben.


33 Kommentare

maik 22. August 2013 um 17:08 Uhr

Danke für den Beitrag. Sehr interessant!

Carsten Jaksch 22. August 2013 um 17:27 Uhr

Danke für den Artikel. Bei meinen Banken scheint es nicht sehr dolle auszusehen. 2x TLS 1.0 in Verbindung mit RC4 (Sparkasse Oberhessen & LBB) und 1x TLS 1.1 mit AES (comdirect)

Ich werde da in Zukunft noch besser aufpassen müssen. Aber was kann man selbst tun, außer wie ein Verrückter die Passwörter & Pins zurücksetzen?

DerDa 22. August 2013 um 17:30 Uhr

Dazu kommt: Bei meiner Sparkasse (Bremen) lässt sich maximal ein 5 Stelliges Passwort zum einloggen vergeben…

Till 22. August 2013 um 17:31 Uhr

Sorry, korrigiere mich selber. Vergesst meinen Post. Ich sollte richtig lesen.

OJ 22. August 2013 um 17:43 Uhr

Sehr schön. Zum Teil sind die Billigableger besser aufgestellt als die Teuer-Mutterhäuser. Da haben die Vertriebler ihre Hausaufgaben richtig gut gemacht.

Dennis 22. August 2013 um 17:57 Uhr

Bei mir nutzt Chrome wenn ich Ing Diba oder Commerzbank aufrufe immer nur TLS 1.0. Egal ob ich mein derzeitiges Profil nutze, ein neues Profil oder eine saubere Installation (Chrome Portable). Hatte ja erst gedacht, dass irgendeine Erweiterung TLS 1.0 erzwingt, aber daran scheints nicht zu liegen.

Oder muss man das in Chrome erst irgendwie aktivieren? (Chrome 29 stable)

Daki (@DakiX) 22. August 2013 um 18:39 Uhr

Grossartiger Beitrag, Jan.

Eben meine Bank gecheckt und wie ich erwartet habe TLS 1.2 + AES.

manchot 22. August 2013 um 19:29 Uhr

Mit Opera 12 hatte ich mit DiBa nur TLS 1.0 (AES), hab dann in den Einstellungen TLS 1.1 und 1.2 aktiviert (waren deaktiviert…) und schon bekomm ich mit DiBa TLS 1.2. Warum nicht gleich so?

jens 22. August 2013 um 20:26 Uhr

Spannender Artikel – Weiss jemand wie die Postbank abgeschnitten hat ?

clarkkent 22. August 2013 um 20:40 Uhr

@werner67

danke für die Info. Schon der Hammer und eigentlich eine Frechheit, dass das standardmäßig im FF deaktiviert ist!

René Fischer 22. August 2013 um 20:47 Uhr

@Werner67: Danke für den Link!

Jan Nolte 22. August 2013 um 23:19 Uhr

@Carsten Jaksch: TLS 1.1 mit AES-Verschlüsselung gilt als sicher – bei comdirect bist du mit deinem Browser also gut unterwegs. Falls du bei der Sparkasse Oberhessen ein stärkeres Verschlüsselungsverfahren nutzen möchtest, könntest du auf Chrome 29, den IE 11 oder Safari 7 wechseln – diese drei Browser sollten eine TLS 1.2 Verbindung mit AES-Verschlüsselung herstellen.

@Dennis: Das Problem kann ich nicht nachstellen – bei mir baut Chrome 29 mit der ING DiBa und der Commerzbank eine TLS 1.2 Verbindung auf. TLS 1.2 sollte bei aktuellen Chrome-Versionen automatisch aktiv sein. Welches Betriebssystem nutzt du?

@jens: Die Postbank ist weder positiv, noch negativ aufgefallen. Mit dem IE 11 wird eine sichere TLS 1.2 Verbindung ausgehandelt, mit allen anderen Browsern immerhin TLS 1.0 mit RC4-Verschlüsselung, was als eingeschränkt sicher gilt. Die Tabelle in Bild 2 dieses Beitrags zeigt alle Testergebnisse im Überblick.

Thomas K. 23. August 2013 um 00:57 Uhr

Hab da doch direkt mal meine Firefox config gecheckt und die Keys
security.tls.version.(min,max) jeweils auf 3 gesetzt (siehe dazu http://kb.mozillazine.org/Security.tls.version.*).

Jetzt würde ich gerne den Effekt meiner Bastelei prüfen, kann aber keinen geeigneten Weg finden, mir die verwendete TLS-Version in Firefox 23 (Win8) anzeigen zu lassen. Abgesehen davon siehts immer noch nach RC4 mit 128 bit aus, was einfach nur traurig ist…

Thomas K. 23. August 2013 um 01:07 Uhr

Nachtrag: So kam ich im Firefox von RC4-128b auf AES-256b:
Einfach auf about:config gehen, im Suchfenster rc4 eingeben.
Es sollten nur Boolean-Einträge zu sehen sein. Diese alle auf false setzen.
Jetzt genügt ein Neuladen der Bankingseite via [Strg]+[F5] ([STRG] ist hier wichtig, da nur so der Handshake erneuert wird).

Vielleicht hilft’s dem ein oder anderen. In Verbindung mit dem TLS Tweak von oben sollte so der Firefox deutlich wählerischer sein.

Torsten 23. August 2013 um 08:17 Uhr

interessanter Artikel, Danke!

Dennis 23. August 2013 um 08:59 Uhr

@ Jan Nolte:
Ich nutze Windows 8. Vllt hängt es damit zusammen. Bei einem Kollegen mit Windows 7 und Chrome 29 wird ebenfalls TLS 1.2 verwendet.
Dass ausgerechnet Microsofts neustes Betriebssystem nicht unterstützt wird ist für mich nicht nachvollziehbar.

Jan 23. August 2013 um 09:40 Uhr

Eieiei, da wiegt man sich in trügerischer Sicherheit – vielen Dank für den Artikel.

Gut sieht es bei unserer regionalen Sparkasse, der comdirect und der DKB aus (jeweils TLS 1.2 mit dem aktuellen Chrome), die Deutsche Bank sollte mal lieber Ihre Hausaufgaben machen, statt mit “Die Sicherheit Ihrer Daten hat beim OnlineBanking oberste Priorität. Deshalb setzen wir stets auf die aktuellsten Sicherheitsstandards.” zu werben.

Wie ist denn nun die Bank of Scotland mit TLS1.0/ AES_256_CBC aber wenigstens DHE-RSA einzuschätzen? Ganz schlecht oder bringt DHE_RSA auch in der Kombination etwas mehr Sicherheit?

clarkkent 23. August 2013 um 10:26 Uhr

@Thomas K.
“Hab da doch direkt mal meine Firefox config gecheckt und die Keys
security.tls.version.(min,max) jeweils auf 3 gesetzt”

und was bringt Dir das, FF unterstützt doch TLS 1.2 NICHT? Steht doch in dem von Dir gesetzten Link klar und deutlich.
“(3

TLS 1.2 is the minimum required / maximum supported encryption protocol. (Not supported in Firefox 23.0 and SeaMonkey 2.20.) ”

…oder ist die Sache “abwärtskompatible”, das dann also automatisch der Boolean-Wert 2 aktiviert wird?

Heiner 23. August 2013 um 10:54 Uhr

Der Link zu “per Voreinstellung deaktiviert” funzt net…

Thomas K. 23. August 2013 um 11:11 Uhr

@clarkkent: Danke, habe ich glatt übersehen. Der Wert 3 ist offensichtlich noch unwirksam, wie ich mittels https://cc.dcsec.uni-hannover.de/ herausgefunden habe.
Ich habe jetzt max auf 2 und min auf 0 gesetzt, was im Handshake hier TLSv1.1 ergibt (Im Gegensatz zu TLSv1 mit Wert 3…). Die TLS-Version bei der Bank (eine Sparkasse, die wie die Haspa alle Versionen anbietet) kann ich allerdings immer noch nicht herausfinden.

clarkkent 23. August 2013 um 11:56 Uhr

@Thomas K.

ich würde min auf 1 setzen, da SSL total veraltet ist und fast nicht mehr angewendet wird und die Bank, welche das trotzdem tut, würde ich eh nicht mein Geld anvertrauen.

Guck Dir mal dein Link von werner67 an, ist eigentlich der gleiche wie dein Link vom mozillazine. Oben im Artikel steht ja auch “Früher wurde an Stelle des TLS-Protokolls der Vorgänger SSL verwendet, dieser ist heutzutage aber kaum noch im Einsatz.”

Also wenn dann:

security.tls.version.max -> 2

security.tls.version.min -> 1

:)

Thomas K. 23. August 2013 um 12:21 Uhr

@clarkkent: klingt vernünftig.

Zusammenfassung: FF23.0.1, Win8
security.tls.version.max = 2
security.tls.version.min = 1

Nach kurzem Weiterlesen zur Materie ist das allerdings nur eine bedingte Sicherheitsverbesserung (z.B. unwirksam bei downgrade attacks, die vom Browser so nicht gemeldet werden). Weitere Einschränkungen pro Website wären wünschenswert…

clarkkent 23. August 2013 um 12:41 Uhr

@Thomas K.
allerdings, zwar nur eine bedingte Sicherheitsverbesserung aber besser als die default-werte im FF.

btw:
die Uni Hannover wird mir immer sympathischer, benutze auch fast nur noch deren Suchmaschine

http://meta.rrzn.uni-hannover.de/

Christian 23. August 2013 um 13:33 Uhr

Kleiner Tippfehler im Artikel.
Tatsächlich existieren drei Versionen des TLS-Protokolls: Version 1.0 von 1999, Version 1.1 von 2006 und Version 1.3 von 2008.

Das soll bei 2008 wohl Version 1.2 heissen.

kinakiller (@kinakiller) 23. August 2013 um 17:53 Uhr

Klasse Artikel.

Was mir gerade auffiel: wenn in Bitdefender AntiVirus unter Privatsphäre die Option SSL-Scannen aktiviert war wurde immer nur eine TLS1.0 -Verbindung aufgebaut. Nach deaktivieren der Option wurde dann 1.1 bzw. 1.2 verwendet.

@Dennis könnte evtl auch die Ursache bei dir sein

Norbert 23. August 2013 um 22:13 Uhr

Wie passend, habe ich doch erst vor kurzem selbst mal bei meine Banken nachgesehen. Angeregt durch eine Artikel in der c’t zur DSL Verschlüsselung. Die Reaktionen der Banken fand ich sehr interessant, von einer ist bis heute keine Rückmeldung gekommen.
Hab das alles hier verbloggt
http://derlokalteil.wordpress.com/2013/08/14/verpfuschte-ssl-verschlusselung/

Michael S. 24. August 2013 um 08:19 Uhr

So interessant der Artikel auch ist, die einzig sichere Verbindung ist m.E. nur mit FinTS möglich, die zudem durch kostenlose SW sehr gut unterstützt (Hibiscus) wird.

Jan Nolte 24. August 2013 um 13:29 Uhr

Vielen Dank für das positive Feedback!

Alle Testergebnisse aus dem Beitrag beziehen sich auf die SSL/TLS-Standardeinstellungen der untersuchten Browser, da die meisten Leute damit unterwegs sein dürften. Sofern ein Browser höhere TLS-Versionen unterstützt, als im Auslieferungszustand aktiviert sind, hängt das oft damit zusammen, dass die Entwickler die Implementierung der neueren Versionen noch nicht für ausgereift halten oder beim Testen mit bestimmten Websites Probleme aufgetreten sind.

Wenn man weiß, wo man die Einstellung im Zweifelsfall wieder rückgängig machen kann, spricht natürlich nichts dagegen, TLS 1.1 oder TLS 1.2 von Hand zu aktivieren. In älteren Versionen des Internet Explorers kann man hierzu in den „Internet Optionen“ unter „Erweitert“ die Häkchen bei „TLS 1.1 verwenden“ und „TLS 1.2 verwenden“ setzen.

Im Firefox-Browser kann man nach Eingabe von „about:config“ in die Adresszeile die Einstellung „security.tls.version.max“ auf „2“ setzen, um TLS 1.1 zu aktivieren. Leider lässt sich TLS 1.2 nicht durch setzen des Werts auf „3“ freischalten. Der Wert „3“ führt dagegen dazu, dass wieder die Standardeinstellung verwendet wird und maximal TLS 1.0 genutzt wird.

@Thomas K.: Mittels Wireshark habe ich die verwendeten TLS-Versionen und Verschlüsselungsverfahren untersucht, die der Firefox-Browser bei verschiedenen Einstellungen verwendet. Das Setzen von „security.tls.version.min“ auf den Wert „2“ kann ich nicht empfehlen, da Websites, welche lediglich TLS 1.0 unterstützen auf diese Weise gar nicht mehr angezeigt werden können. Das gleiche gilt für das deaktivieren einzelner Verschlüsselungsverfahren unterhalb von „security.ssl3“ – hier würde ich die Standardwerte lieber beibehalten. Obwohl diese Einstellungen „SSL3“ im Namen tragen, wirken sie sich übrigens auch auf TLS aus. Ob man „security.tls.version.min“ auf „0“ belassen oder „1“ hochsetzen sollte, hat für die Praxis keine nennenswerte Auswirkung. Webseiten, die sowohl SSL, als auch TLS unterstützen werden mit dem Browser in der Regel ohnehin TLS aushandeln. Sollte man tatsächlich eine Website finden, welche nur SSL und kein TLS unterstützen sollte, wird diese bei „1“ gar nicht angezeigt, bei „0“ hingegen schon.

@Dennis: Der Hinweis von kinakiller ist sehr spannend. Würde mich sehr freuen, wenn du uns darüber auf dem Laufenden halten könntest, ob ein Virenscanner oder eine Security Suite bei dir TLS 1.1/1.2 im Chrome-Browser verhindert.

@Jan: Die Nutzung der „Perfect Forward Secrecy“ (PFS) hat nichts mit dem verwendeten Verschlüsselungsverfahren zu tun. Ein sicheres Verschlüsselungsverfahren schützt _während_ der bestehenden Online-Sitzung und sorgt dafür, dass niemand eine Banking-Sitzung mitlesen oder übernehmen kann. Ein sicheres Verfahren für den Schlüsselaustausch wie „DHE_RSA“ oder „ECDHE-RSA“ schützt dagegen davor, dass niemand mit vertretbaren Aufwand eine mitgeschnittene Banking-Sitzung _nachträglich_ entschlüsseln und mitlesen kann. Idealerweise sollte also beides gegeben sein. Meiner Meinung nach ist die Nutzung eines sicheren Verschlüsselungsverfahrens im Zweifel wichtiger, als die Nutzung eines sicheren Verfahrens für den Schlüsselaustausch.

@Christian: Völlig richtig, es muss TLS Version 1.2 heißen – eine Version 1.3 gibt es noch nicht.

@Michael S.: Bei FinTS und HBCI bin ich nicht im Thema, aber verwenden diese Protokolle zur Transportverschlüsselung nicht auch TLS? Falls dem so sein sollte, könnten sie ganz ähnliche Angriffspunkte bieten, wie das klassische Browser-Banking.

Dennis 24. August 2013 um 16:57 Uhr

@ Jan Nolte, kinakiller: Ja tatsächlich lag es an Bitdefender. Ich habe Bitdefender Anti Virus in der neusten Version installiert und standardmäßig war in den Privatsphäreneinstellungen “SSL scannen” aktiviert. Nach dem ich das deaktiviert habe, baut Chrome jetzt auch bei mir TLS 1.1 und 1.2 Verbindungen auf.

Bitdefender mag ja gute Erkennungraten aufweisen, aber ansonsten gefällt es mir überhaupt nicht. Das hat jetzt nur noch einen drauf gesetzt. Werde wohl nach Ablauf der Lizenz wieder auf Kaspersky setzen.

borg 25. August 2013 um 15:47 Uhr

srware hat einen speziellen bankingbrowser im angebot. ich habe ihn allerdings noch nicht getestet. http://www.srware.net/software_banking_browser_2008.php

Jan 2. September 2013 um 11:47 Uhr

Das ist ja krass – habt Ihr mal mit dem SSL Server Test bei der Bank of Scotland die “normale” Domain http://www.bankofscotland.de und die des Onlinebankings banking.bankofscotland.de gescannt? Erstere unterstützt TLS 1.2 und erhält folglich Grade A, die Seite, bei der es eigentlich auf Sicherheit ankäme, unterstützt nur TLS 1.0 und erhält folglich Grade B…


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.