 |
# taz.de -- Unsicheres Onlinebanking: Konto knacken leicht gemacht |
|
|
|
> Kontodetails und Passwort von Bankkunden mitlesen? Kein Problem, denn |
|
> viele Institute haben beim Onlinebanking einen überholten |
|
> Verschlüsselungsstandard. |
|
|
 |
Bild: Aufgepasst: Die Verbindung könnte schlecht verschlüsselt sein. |
|
|
|
BERLIN taz | Geldinstitute nutzen für ihr Onlinebanking-Angebot häufig |
|
veraltete Verschlüsselungen. So setzen unter anderem diverse Sparkassen, |
|
die Landesbank Baden-Württemberg, aber auch die Postbank einen Standard |
|
namens RC4 ein, der als geknackt gilt. Geheimdienste und Kriminelle können |
|
in diesen Fällen mit etwas technischem Know-how mitlesen, was zwischen der |
|
Bank und dem Bankkunden hin und her geschickt wird – also etwa |
|
Kontodetails, Passwörter und TANs. |
|
|
|
Fast jeder zweite Deutsche erledigt laut einer Erhebung des |
|
Branchenverbandes Bitkom seine Bankgeschäfte im Internet. Bei den |
|
Transaktionen im Netz wird zwischen dem heimischen Computer und dem Server |
|
der Bank eine verschlüsselte Verbindung aufgebaut. Zu erkennen ist das an |
|
dem https in der Adresszeile des Browsers. |
|
|
|
Das Problem: Diese Verbindung kann mit unterschiedlicher Qualität |
|
verschlüsselt sein. So gibt es einen Standard mit dem Namen AES, der als |
|
gut gilt und von mehreren Banken wie etwa den von der taz getesteten Seiten |
|
von Volks- und Sparda-Banken, der Commerzbank oder der GLS-Bank verwendet |
|
wird. |
|
|
|
Immer noch setzen Banken jedoch den mittlerweile veralteten Standard RC4 |
|
ein. Der gilt unter Experten als leicht zu entschlüsseln. Erst Anfang |
|
Oktober warnte der Kryptoexperte Jakob Appelbaum über Twitter: „RC4 wird |
|
von der NSA in Echtzeit geknackt – hört auf, es zu benutzen!“ |
|
|
|
## Wer will und kann, kann abschalten |
|
|
|
Die Banken, die den Mechanismus trotzdem noch verwenden, zeigen sich |
|
verschlossen. Die Postbank ließ eine Anfrage der taz ganz unbeantwortet. |
|
Die Hamburger Sparkasse weist darauf hin, dass sie darüber hinaus noch |
|
andere Verschlüsselungsverfahren anbietet. Warum sie ihre Server aber so |
|
einstellt, dass die gute Verschlüsselung nur dann funktioniert, wenn der |
|
Browser des Nutzers die schlechte explizit ablehnt, ließ ein |
|
Unternehmenssprecher offen. |
|
|
|
Die Berliner Sparkasse und die Mercedes-Benz-Bank halten ihre Kunden mit |
|
den aktuellen Systemen für geschützt. Letztere argumentiert, dass Kunden |
|
grundsätzlich nur Geld von ihren Konten auf ein Referenzkonto transferieren |
|
können. Eine unsichere Verbindung mag damit für Kriminelle uninteressanter |
|
werden, für Geheimdienste jedoch nicht. |
|
|
|
Ein Sprecher der Landesbank Baden-Württemberg weist darauf hin, dass Kunden |
|
doch selbst das veraltete Verfahren in ihrem Browser ausschalten können. |
|
Das ist zwar grundsätzlich richtig, erfordert aber ein Maß an technischen |
|
Kenntnissen, die weit über die eines durchschnittlichen Nutzers |
|
hinausgehen. Immerhin plant die Bank, das Verfahren umzustellen: Server und |
|
Browser sollen künftig mit der besten möglichen Verschlüsselung |
|
kommunizieren. |
|
|
|
## Daten der Vergangenheit |
|
|
|
„RC4 ist beliebt, weil es sehr schnell arbeitet“, erklärt der Informatiker |
|
Kei Ishii, Projektleiter des Portals „Verbraucher sicher online“, das |
|
Bankeninteresse. Andere Verfahren würden deutlich mehr Rechenkraft und |
|
damit Investitionen in Hardware voraussetzen. Für Kriminelle gebe es zwar |
|
attraktivere Methoden, ein Konto zu kapern. Doch gehe es grundsätzlich um |
|
Schutz, etwa vor staatlichen Mitlesern. |
|
|
|
IT-Experten fordern, dass auch die Banken, die jetzt schon den sichereren |
|
Mechanismus AES einsetzen, weiter nachbessern. Denn normalerweise ist die |
|
Zeit auf der Seite der Überwacher: Wird ein Schlüssel geknackt, sind alle |
|
gespeicherten Daten der Vergangenheit lesbar. Das verhindert ein Verfahren |
|
namens Perfect Forward Secrecy. Auffällig ist, dass Banken wie GLS, Triodus |
|
oder die Ethik-Bank, die auch bei ihren Investitionen andere Wege gehen als |
|
die Großbanken, dieses System bereits einsetzen. |
|
|
|
1 Dec 2013 |
|
|
|
## AUTOREN |
|
|
 |
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Sparkasse |
|
Konto |
|
Passwort |
|
Datenschutz |
|
|
|
Deutsche Bank |
|
Hacker |
|
Thomas Drake |
|
Datenkrake |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“ |
|
|
|
Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint |
|
Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails |
|
schreiben. |
|
|
|
BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken |
|
|
|
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland |
|
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle |
|
anderen. |
|
|
|
Wegen Zinsmanipulationen: EU straft Deutsche Bank ab |
|
|
|
Notorische Sünder: Die EU-Kommission brummt acht Geldhäusern Rekordbußen |
|
auf. Sie hatten Zinsabsprachen manipuliert. |
|
|
|
Neue Betrugsform beim Onlinebanking: Per mTan-Verfahren abgezockt |
|
|
|
Sicherheitslücken beim Onlinebanking mit TAN-Zusendung aufs Handy: Die |
|
Fälle von Kontenplünderungen nehmen zu. Die Täter installieren |
|
Schadsoftware und spähen SMS aus. |
|
|
|
Hacker Appelbaum über Überwachung: „Ihr seid Experten des Schreckens“ |
|
|
|
Der Internetaktivist Jacob Appelbaum zieht Vergleiche zwischen der NSA und |
|
der Stasi, lobt das deutsche Verständnis von Datenschutz und fordert mehr |
|
Widerstand. |
|
|
|
Überwachung im Netz: Die Furcht vor Kontrollverlust |
|
|
|
Kaum passiert etwas Negatives wie der „Prism“-Skandal in den USA, und schon |
|
wird das Internet an sich verunglimpft. Das ist ziemlich kurzsichtig. |
