taz.de -- Unsicheres Onlinebanking: Konto knacken leicht gemacht

Kontodetails und Passwort von Bankkunden mitlesen? Kein Problem, denn viele Institute haben beim Onlinebanking einen überholten Verschlüsselungsstandard.
Bild: Aufgepasst: Die Verbindung könnte schlecht verschlüsselt sein.

BERLIN taz | Geldinstitute nutzen für ihr Onlinebanking-Angebot häufig veraltete Verschlüsselungen. So setzen unter anderem diverse Sparkassen, die Landesbank Baden-Württemberg, aber auch die Postbank einen Standard namens RC4 ein, der als geknackt gilt. Geheimdienste und Kriminelle können in diesen Fällen mit etwas technischem Know-how mitlesen, was zwischen der Bank und dem Bankkunden hin und her geschickt wird – also etwa Kontodetails, Passwörter und TANs.

Fast jeder zweite Deutsche erledigt laut einer Erhebung des Branchenverbandes Bitkom seine Bankgeschäfte im Internet. Bei den Transaktionen im Netz wird zwischen dem heimischen Computer und dem Server der Bank eine verschlüsselte Verbindung aufgebaut. Zu erkennen ist das an dem https in der Adresszeile des Browsers.

Das Problem: Diese Verbindung kann mit unterschiedlicher Qualität verschlüsselt sein. So gibt es einen Standard mit dem Namen AES, der als gut gilt und von mehreren Banken wie etwa den von der taz getesteten Seiten von Volks- und Sparda-Banken, der Commerzbank oder der GLS-Bank verwendet wird.

Immer noch setzen Banken jedoch den mittlerweile veralteten Standard RC4 ein. Der gilt unter Experten als leicht zu entschlüsseln. Erst Anfang Oktober warnte der Kryptoexperte Jakob Appelbaum über Twitter: „RC4 wird von der NSA in Echtzeit geknackt – hört auf, es zu benutzen!“

Wer will und kann, kann abschalten

Die Banken, die den Mechanismus trotzdem noch verwenden, zeigen sich verschlossen. Die Postbank ließ eine Anfrage der taz ganz unbeantwortet. Die Hamburger Sparkasse weist darauf hin, dass sie darüber hinaus noch andere Verschlüsselungsverfahren anbietet. Warum sie ihre Server aber so einstellt, dass die gute Verschlüsselung nur dann funktioniert, wenn der Browser des Nutzers die schlechte explizit ablehnt, ließ ein Unternehmenssprecher offen.

Die Berliner Sparkasse und die Mercedes-Benz-Bank halten ihre Kunden mit den aktuellen Systemen für geschützt. Letztere argumentiert, dass Kunden grundsätzlich nur Geld von ihren Konten auf ein Referenzkonto transferieren können. Eine unsichere Verbindung mag damit für Kriminelle uninteressanter werden, für Geheimdienste jedoch nicht.

Ein Sprecher der Landesbank Baden-Württemberg weist darauf hin, dass Kunden doch selbst das veraltete Verfahren in ihrem Browser ausschalten können. Das ist zwar grundsätzlich richtig, erfordert aber ein Maß an technischen Kenntnissen, die weit über die eines durchschnittlichen Nutzers hinausgehen. Immerhin plant die Bank, das Verfahren umzustellen: Server und Browser sollen künftig mit der besten möglichen Verschlüsselung kommunizieren.

Daten der Vergangenheit

„RC4 ist beliebt, weil es sehr schnell arbeitet“, erklärt der Informatiker Kei Ishii, Projektleiter des Portals „Verbraucher sicher online“, das Bankeninteresse. Andere Verfahren würden deutlich mehr Rechenkraft und damit Investitionen in Hardware voraussetzen. Für Kriminelle gebe es zwar attraktivere Methoden, ein Konto zu kapern. Doch gehe es grundsätzlich um Schutz, etwa vor staatlichen Mitlesern.

IT-Experten fordern, dass auch die Banken, die jetzt schon den sichereren Mechanismus AES einsetzen, weiter nachbessern. Denn normalerweise ist die Zeit auf der Seite der Überwacher: Wird ein Schlüssel geknackt, sind alle gespeicherten Daten der Vergangenheit lesbar. Das verhindert ein Verfahren namens Perfect Forward Secrecy. Auffällig ist, dass Banken wie GLS, Triodus oder die Ethik-Bank, die auch bei ihren Investitionen andere Wege gehen als die Großbanken, dieses System bereits einsetzen.

1 Dec 2013

AUTOREN

Svenja Bergt

TAGS

Sparkasse
Konto
Passwort
Datenschutz
Email
Deutsche Bank
Hacker
Thomas Drake
Datenkrake

ARTIKEL ZUM THEMA

Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“

Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails schreiben.

BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken

„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle anderen.

Wegen Zinsmanipulationen: EU straft Deutsche Bank ab

Notorische Sünder: Die EU-Kommission brummt acht Geldhäusern Rekordbußen auf. Sie hatten Zinsabsprachen manipuliert.

Neue Betrugsform beim Onlinebanking: Per mTan-Verfahren abgezockt

Sicherheitslücken beim Onlinebanking mit TAN-Zusendung aufs Handy: Die Fälle von Kontenplünderungen nehmen zu. Die Täter installieren Schadsoftware und spähen SMS aus.

Hacker Appelbaum über Überwachung: „Ihr seid Experten des Schreckens“

Der Internetaktivist Jacob Appelbaum zieht Vergleiche zwischen der NSA und der Stasi, lobt das deutsche Verständnis von Datenschutz und fordert mehr Widerstand.

Überwachung im Netz: Die Furcht vor Kontrollverlust

Kaum passiert etwas Negatives wie der „Prism“-Skandal in den USA, und schon wird das Internet an sich verunglimpft. Das ist ziemlich kurzsichtig.