# taz.de -- Unsicheres Onlinebanking: Konto knacken leicht gemacht | |
> Kontodetails und Passwort von Bankkunden mitlesen? Kein Problem, denn | |
> viele Institute haben beim Onlinebanking einen überholten | |
> Verschlüsselungsstandard. | |
Bild: Aufgepasst: Die Verbindung könnte schlecht verschlüsselt sein. | |
BERLIN taz | Geldinstitute nutzen für ihr Onlinebanking-Angebot häufig | |
veraltete Verschlüsselungen. So setzen unter anderem diverse Sparkassen, | |
die Landesbank Baden-Württemberg, aber auch die Postbank einen Standard | |
namens RC4 ein, der als geknackt gilt. Geheimdienste und Kriminelle können | |
in diesen Fällen mit etwas technischem Know-how mitlesen, was zwischen der | |
Bank und dem Bankkunden hin und her geschickt wird – also etwa | |
Kontodetails, Passwörter und TANs. | |
Fast jeder zweite Deutsche erledigt laut einer Erhebung des | |
Branchenverbandes Bitkom seine Bankgeschäfte im Internet. Bei den | |
Transaktionen im Netz wird zwischen dem heimischen Computer und dem Server | |
der Bank eine verschlüsselte Verbindung aufgebaut. Zu erkennen ist das an | |
dem https in der Adresszeile des Browsers. | |
Das Problem: Diese Verbindung kann mit unterschiedlicher Qualität | |
verschlüsselt sein. So gibt es einen Standard mit dem Namen AES, der als | |
gut gilt und von mehreren Banken wie etwa den von der taz getesteten Seiten | |
von Volks- und Sparda-Banken, der Commerzbank oder der GLS-Bank verwendet | |
wird. | |
Immer noch setzen Banken jedoch den mittlerweile veralteten Standard RC4 | |
ein. Der gilt unter Experten als leicht zu entschlüsseln. Erst Anfang | |
Oktober warnte der Kryptoexperte Jakob Appelbaum über Twitter: „RC4 wird | |
von der NSA in Echtzeit geknackt – hört auf, es zu benutzen!“ | |
## Wer will und kann, kann abschalten | |
Die Banken, die den Mechanismus trotzdem noch verwenden, zeigen sich | |
verschlossen. Die Postbank ließ eine Anfrage der taz ganz unbeantwortet. | |
Die Hamburger Sparkasse weist darauf hin, dass sie darüber hinaus noch | |
andere Verschlüsselungsverfahren anbietet. Warum sie ihre Server aber so | |
einstellt, dass die gute Verschlüsselung nur dann funktioniert, wenn der | |
Browser des Nutzers die schlechte explizit ablehnt, ließ ein | |
Unternehmenssprecher offen. | |
Die Berliner Sparkasse und die Mercedes-Benz-Bank halten ihre Kunden mit | |
den aktuellen Systemen für geschützt. Letztere argumentiert, dass Kunden | |
grundsätzlich nur Geld von ihren Konten auf ein Referenzkonto transferieren | |
können. Eine unsichere Verbindung mag damit für Kriminelle uninteressanter | |
werden, für Geheimdienste jedoch nicht. | |
Ein Sprecher der Landesbank Baden-Württemberg weist darauf hin, dass Kunden | |
doch selbst das veraltete Verfahren in ihrem Browser ausschalten können. | |
Das ist zwar grundsätzlich richtig, erfordert aber ein Maß an technischen | |
Kenntnissen, die weit über die eines durchschnittlichen Nutzers | |
hinausgehen. Immerhin plant die Bank, das Verfahren umzustellen: Server und | |
Browser sollen künftig mit der besten möglichen Verschlüsselung | |
kommunizieren. | |
## Daten der Vergangenheit | |
„RC4 ist beliebt, weil es sehr schnell arbeitet“, erklärt der Informatiker | |
Kei Ishii, Projektleiter des Portals „Verbraucher sicher online“, das | |
Bankeninteresse. Andere Verfahren würden deutlich mehr Rechenkraft und | |
damit Investitionen in Hardware voraussetzen. Für Kriminelle gebe es zwar | |
attraktivere Methoden, ein Konto zu kapern. Doch gehe es grundsätzlich um | |
Schutz, etwa vor staatlichen Mitlesern. | |
IT-Experten fordern, dass auch die Banken, die jetzt schon den sichereren | |
Mechanismus AES einsetzen, weiter nachbessern. Denn normalerweise ist die | |
Zeit auf der Seite der Überwacher: Wird ein Schlüssel geknackt, sind alle | |
gespeicherten Daten der Vergangenheit lesbar. Das verhindert ein Verfahren | |
namens Perfect Forward Secrecy. Auffällig ist, dass Banken wie GLS, Triodus | |
oder die Ethik-Bank, die auch bei ihren Investitionen andere Wege gehen als | |
die Großbanken, dieses System bereits einsetzen. | |
1 Dec 2013 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Sparkasse | |
Konto | |
Passwort | |
Datenschutz | |
Deutsche Bank | |
Hacker | |
Thomas Drake | |
Datenkrake | |
## ARTIKEL ZUM THEMA | |
Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“ | |
Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint | |
Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails | |
schreiben. | |
BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken | |
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland | |
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle | |
anderen. | |
Wegen Zinsmanipulationen: EU straft Deutsche Bank ab | |
Notorische Sünder: Die EU-Kommission brummt acht Geldhäusern Rekordbußen | |
auf. Sie hatten Zinsabsprachen manipuliert. | |
Neue Betrugsform beim Onlinebanking: Per mTan-Verfahren abgezockt | |
Sicherheitslücken beim Onlinebanking mit TAN-Zusendung aufs Handy: Die | |
Fälle von Kontenplünderungen nehmen zu. Die Täter installieren | |
Schadsoftware und spähen SMS aus. | |
Hacker Appelbaum über Überwachung: „Ihr seid Experten des Schreckens“ | |
Der Internetaktivist Jacob Appelbaum zieht Vergleiche zwischen der NSA und | |
der Stasi, lobt das deutsche Verständnis von Datenschutz und fordert mehr | |
Widerstand. | |
Überwachung im Netz: Die Furcht vor Kontrollverlust | |
Kaum passiert etwas Negatives wie der „Prism“-Skandal in den USA, und schon | |
wird das Internet an sich verunglimpft. Das ist ziemlich kurzsichtig. |