Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung
Online-Banking ist schnell und bequem – früher musste man zum Prüfen des Kontostands oder zum Einreichen von Überweisungen zur Bank gehen, inzwischen erledigt etwa die Hälfte aller Deutschen Ihre Bankgeschäfte über das Internet. Das grün hinterlegte Schloss in der Adresszeile des Browsers suggeriert eine sichere Verbindung zur Bank – aber wie sicher ist diese wirklich?
Für das Online-Banking baut der Browser in der Regel eine verschlüsselte TLS-Verbindung zur Bank auf. Früher wurde an Stelle des TLS-Protokolls der Vorgänger SSL verwendet, dieser ist heutzutage aber kaum noch im Einsatz. Sofern die Bank dem Browser mit ihrem TLS-Zertifikat belegen kann, dass sie echt ist, zeigt dieser das erwähnte grün hinterlegte Schloss an. Über die Qualität des verwendeten Verschlüsselungsverfahrens sagt dies jedoch nichts aus.
[werbung]
Tatsächlich existieren drei Versionen des TLS-Protokolls: Version 1.0 von 1999, Version 1.1 von 2006 und Version 1.3 von 2008. Diese können mit einer Reihe verschiedener Verschlüsselungsverfahren kombiniert werden, wobei viele Kombinationen inzwischen als unsicher gelten. Welches Verfahren zum Einsatz kommt, handeln der Browser und das Online-Banking-Portal individuell aus. Hierzu tauschen sie sich beim Verbindungsaufbau darüber aus, welche Verschlüsselungsverfahren sie jeweils unterstützen und einigen sich im Idealfall auf den kleinsten gemeinsamen Nenner. Durch eine pfiffige Konfiguration ihrer Server können Banken ausschließen, dass hierbei unsichere Verfahren zum Einsatz kommen. Tun sie das auch?
Die Antwort fällt ernüchternd aus: Jedes zweite untersuchte Online-Banking-Portal zeigt Mängel. Etliche Banken setzen noch auf Sicherheitstechnik aus dem vergangenen Jahrtausend und unterstützen lediglich die TLS-Version 1.0. Diese ist nur in Verbindung mit dem RC4-Verschlüsselungsverfahren halbwegs sicher. In Kombination mit allen anderen Verfahren ist die Verbindung mittels BEAST-Attacke angreifbar, in der ein Angreifer den arglosen Online-Banker unter idealen Bedingungen lediglich zum Anklicken eines präparierten Links bewegen muss, um anschließend seine Banking-Sitzung übernehmen zu können – siehe http://youtu.be/BTqAIDVUvrU. Da auch RC4 nicht mehr als uneingeschränkt sicher gilt, ist es ratsamer, auf TLS 1.0 wo möglich zu verzichten und auf TLS 1.2 mit 3DES-, AES oder Camellia-Verschlüsselung zu setzen.
Die Online-Banking-Portale der Bank of Scotland, von Credit Europe, der Deutschen Bank, der Hamburger Sparkasse, der Norisbank und der Targobank sind nahezu unabhängig vom verwendeten Browser anfällig für die BEAST-Attacke, da sie TLS 1.0 in Kombination mit anderen Verfahren als RC4 vermitteln. Surfer, die mit dem Firefox oder älteren Versionen sonstiger Browser unterwegs sind, sind der gleichen Gefahr bei der DAB Bank und der ING DiBa ausgesetzt. Ältere Browser-Versionen sind auch bei Cortal Consors und einigen „kleineren“ Volksbanken betroffen.
Das es auch anders geht, zeigt das Online-Banking der comdirect-Bank, welches mit allen Browsern die jeweils nahezu höchsten unterstützten Verschlüsselungsverfahren aushandelt. Bezogen auf Chrome 29, Internet Explorer 11, Opera 15 und Safari 7 gilt das durchaus auch für die DAB Bank und die ING DiBa, weshalb es noch unverständlicher ist, dass diese den Firefox und ältere Browsern außer Acht lassen. Beschränkt auf Chrome 29, Internet Explorer 11 und Safari 7 machen auch die Commerzbank, die DKB Bank, die Nord/LB sowie die getesteten „kleineren“ Sparkassen einen guten Eindruck. Hier möchte man der Hamburger Sparkasse raten, sich mal mit ihren Kollegen zusammenzusetzen.
Fairerweise muss man sagen, dass die Hersteller der Browser nicht ganz unschuldig an der Misere sind. Obwohl TLS 1.2 schon seit 2008 verabschiedet ist, wurde es in die gängigen Browser erst in den letzten Monaten integriert. Im Firefox-Browser ist die Unterstützung von TLS 1.2 zwar enthalten, aber selbst in der aktuellen Version 23 per Voreinstellung deaktiviert. Das derzeit als am sichersten geltende TLS-Verschlüsselungsverfahren TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 ist im Augenblick in keinem populären Browser implementiert.
Wie es um die Sicherheit des Online-Bankings der eigenen Bank steht, kann man besonders leicht im Chrome-Browser herausfinden. Hier genügt ein Klick auf das grüne Schloss-Symbol in der Adressleiste, um anschließend auf dem Reiter „Connection“ das verwendete Verfahren ablesen zu können. TLS 1.0 in Verbindung mit einer Verschlüsselung, die nicht mit „RC4“ beginnt, ist gar nicht gut. Optimal ist TLS 1.2 zusammen mit „3DES“, „AES“ oder „Camellia“. Zusätzliche Sicherheit bringt der Schlüsselaustausch per „Perfect Forward Secrecy“ (PFS), welcher ein nachträgliches Entschlüsseln einer zuvor mitgeschnittenen Online-Sitzung deutlich erschwert. Diesen erkennt man an Kürzel wie „DHE_RSA“ oder „ECDHE-RSA“.
Alternativ lässt sich die Sicherheit des verwendeten SSL-/TLS-Verfahrens auf den Testseiten der Qualys SSL Labs unter https://www.ssllabs.com/ssltest/ untersuchen, welche die Grundlage für diesen Test bildeten. Dort gibt man die zu prüfende Adresse ein, etwa „meine.bank.de“ und klickt auf „Submit“. Welche Verschlüsselungsverfahren eine Auswahl von Browsern aushandelt, wird unter „Handshake Simulation“ aufgeführt. Bei aktiver PFS wird die zugehörige Zeile in grün mit dem Kürzel „FS“ gekennzeichnet.
Abschließend bleibt zu appellieren, das Thema TLS-Sicherheit insbesondere auf Seiten der Banken, aber auch auf Seiten der Hersteller von Browsern stärker in den Fokus zu rücken. Warum setzen neun von 23 Banken im Jahr 2013 Sicherheitstechnik aus dem Jahr 1999 ein? Warum steht die Implementierung neuer Verschlüsselungsverfahren im Backlog der Browserhersteller nicht weiter oben?
Gastbeitrag von Jan Nolte: Informatiker, arbeitet in der IT und hat damit sein Hobby zum Beruf gemacht.
Wird geladen ...
@clarkkent: Danke, habe ich glatt übersehen. Der Wert 3 ist offensichtlich noch unwirksam, wie ich mittels https://cc.dcsec.uni-hannover.de/ herausgefunden habe.
Ich habe jetzt max auf 2 und min auf 0 gesetzt, was im Handshake hier TLSv1.1 ergibt (Im Gegensatz zu TLSv1 mit Wert 3…). Die TLS-Version bei der Bank (eine Sparkasse, die wie die Haspa alle Versionen anbietet) kann ich allerdings immer noch nicht herausfinden.
@Thomas K.
ich würde min auf 1 setzen, da SSL total veraltet ist und fast nicht mehr angewendet wird und die Bank, welche das trotzdem tut, würde ich eh nicht mein Geld anvertrauen.
Guck Dir mal dein Link von werner67 an, ist eigentlich der gleiche wie dein Link vom mozillazine. Oben im Artikel steht ja auch „Früher wurde an Stelle des TLS-Protokolls der Vorgänger SSL verwendet, dieser ist heutzutage aber kaum noch im Einsatz.“
Also wenn dann:
security.tls.version.max -> 2
security.tls.version.min -> 1
🙂
@clarkkent: klingt vernünftig.
Zusammenfassung: FF23.0.1, Win8
security.tls.version.max = 2
security.tls.version.min = 1
Nach kurzem Weiterlesen zur Materie ist das allerdings nur eine bedingte Sicherheitsverbesserung (z.B. unwirksam bei downgrade attacks, die vom Browser so nicht gemeldet werden). Weitere Einschränkungen pro Website wären wünschenswert…
@Thomas K.
allerdings, zwar nur eine bedingte Sicherheitsverbesserung aber besser als die default-werte im FF.
btw:
die Uni Hannover wird mir immer sympathischer, benutze auch fast nur noch deren Suchmaschine
http://meta.rrzn.uni-hannover.de/
Kleiner Tippfehler im Artikel.
Tatsächlich existieren drei Versionen des TLS-Protokolls: Version 1.0 von 1999, Version 1.1 von 2006 und Version 1.3 von 2008.
Das soll bei 2008 wohl Version 1.2 heissen.
Klasse Artikel.
Was mir gerade auffiel: wenn in Bitdefender AntiVirus unter Privatsphäre die Option SSL-Scannen aktiviert war wurde immer nur eine TLS1.0 -Verbindung aufgebaut. Nach deaktivieren der Option wurde dann 1.1 bzw. 1.2 verwendet.
@Dennis könnte evtl auch die Ursache bei dir sein
Wie passend, habe ich doch erst vor kurzem selbst mal bei meine Banken nachgesehen. Angeregt durch eine Artikel in der c’t zur DSL Verschlüsselung. Die Reaktionen der Banken fand ich sehr interessant, von einer ist bis heute keine Rückmeldung gekommen.
Hab das alles hier verbloggt
http://derlokalteil.wordpress.com/2013/08/14/verpfuschte-ssl-verschlusselung/
So interessant der Artikel auch ist, die einzig sichere Verbindung ist m.E. nur mit FinTS möglich, die zudem durch kostenlose SW sehr gut unterstützt (Hibiscus) wird.
Vielen Dank für das positive Feedback!
Alle Testergebnisse aus dem Beitrag beziehen sich auf die SSL/TLS-Standardeinstellungen der untersuchten Browser, da die meisten Leute damit unterwegs sein dürften. Sofern ein Browser höhere TLS-Versionen unterstützt, als im Auslieferungszustand aktiviert sind, hängt das oft damit zusammen, dass die Entwickler die Implementierung der neueren Versionen noch nicht für ausgereift halten oder beim Testen mit bestimmten Websites Probleme aufgetreten sind.
Wenn man weiß, wo man die Einstellung im Zweifelsfall wieder rückgängig machen kann, spricht natürlich nichts dagegen, TLS 1.1 oder TLS 1.2 von Hand zu aktivieren. In älteren Versionen des Internet Explorers kann man hierzu in den „Internet Optionen“ unter „Erweitert“ die Häkchen bei „TLS 1.1 verwenden“ und „TLS 1.2 verwenden“ setzen.
Im Firefox-Browser kann man nach Eingabe von „about:config“ in die Adresszeile die Einstellung „security.tls.version.max“ auf „2“ setzen, um TLS 1.1 zu aktivieren. Leider lässt sich TLS 1.2 nicht durch setzen des Werts auf „3“ freischalten. Der Wert „3“ führt dagegen dazu, dass wieder die Standardeinstellung verwendet wird und maximal TLS 1.0 genutzt wird.
@Thomas K.: Mittels Wireshark habe ich die verwendeten TLS-Versionen und Verschlüsselungsverfahren untersucht, die der Firefox-Browser bei verschiedenen Einstellungen verwendet. Das Setzen von „security.tls.version.min“ auf den Wert „2“ kann ich nicht empfehlen, da Websites, welche lediglich TLS 1.0 unterstützen auf diese Weise gar nicht mehr angezeigt werden können. Das gleiche gilt für das deaktivieren einzelner Verschlüsselungsverfahren unterhalb von „security.ssl3“ – hier würde ich die Standardwerte lieber beibehalten. Obwohl diese Einstellungen „SSL3“ im Namen tragen, wirken sie sich übrigens auch auf TLS aus. Ob man „security.tls.version.min“ auf „0“ belassen oder „1“ hochsetzen sollte, hat für die Praxis keine nennenswerte Auswirkung. Webseiten, die sowohl SSL, als auch TLS unterstützen werden mit dem Browser in der Regel ohnehin TLS aushandeln. Sollte man tatsächlich eine Website finden, welche nur SSL und kein TLS unterstützen sollte, wird diese bei „1“ gar nicht angezeigt, bei „0“ hingegen schon.
@Dennis: Der Hinweis von kinakiller ist sehr spannend. Würde mich sehr freuen, wenn du uns darüber auf dem Laufenden halten könntest, ob ein Virenscanner oder eine Security Suite bei dir TLS 1.1/1.2 im Chrome-Browser verhindert.
@Jan: Die Nutzung der „Perfect Forward Secrecy“ (PFS) hat nichts mit dem verwendeten Verschlüsselungsverfahren zu tun. Ein sicheres Verschlüsselungsverfahren schützt _während_ der bestehenden Online-Sitzung und sorgt dafür, dass niemand eine Banking-Sitzung mitlesen oder übernehmen kann. Ein sicheres Verfahren für den Schlüsselaustausch wie „DHE_RSA“ oder „ECDHE-RSA“ schützt dagegen davor, dass niemand mit vertretbaren Aufwand eine mitgeschnittene Banking-Sitzung _nachträglich_ entschlüsseln und mitlesen kann. Idealerweise sollte also beides gegeben sein. Meiner Meinung nach ist die Nutzung eines sicheren Verschlüsselungsverfahrens im Zweifel wichtiger, als die Nutzung eines sicheren Verfahrens für den Schlüsselaustausch.
@Christian: Völlig richtig, es muss TLS Version 1.2 heißen – eine Version 1.3 gibt es noch nicht.
@Michael S.: Bei FinTS und HBCI bin ich nicht im Thema, aber verwenden diese Protokolle zur Transportverschlüsselung nicht auch TLS? Falls dem so sein sollte, könnten sie ganz ähnliche Angriffspunkte bieten, wie das klassische Browser-Banking.
@ Jan Nolte, kinakiller: Ja tatsächlich lag es an Bitdefender. Ich habe Bitdefender Anti Virus in der neusten Version installiert und standardmäßig war in den Privatsphäreneinstellungen „SSL scannen“ aktiviert. Nach dem ich das deaktiviert habe, baut Chrome jetzt auch bei mir TLS 1.1 und 1.2 Verbindungen auf.
Bitdefender mag ja gute Erkennungraten aufweisen, aber ansonsten gefällt es mir überhaupt nicht. Das hat jetzt nur noch einen drauf gesetzt. Werde wohl nach Ablauf der Lizenz wieder auf Kaspersky setzen.
srware hat einen speziellen bankingbrowser im angebot. ich habe ihn allerdings noch nicht getestet. http://www.srware.net/software_banking_browser_2008.php
Das ist ja krass – habt Ihr mal mit dem SSL Server Test bei der Bank of Scotland die „normale“ Domain http://www.bankofscotland.de und die des Onlinebankings banking.bankofscotland.de gescannt? Erstere unterstützt TLS 1.2 und erhält folglich Grade A, die Seite, bei der es eigentlich auf Sicherheit ankäme, unterstützt nur TLS 1.0 und erhält folglich Grade B…