Unsicheres Onlinebanking: Konto knacken leicht gemacht
Kontodetails und Passwort von Bankkunden mitlesen? Kein Problem, denn viele Institute haben beim Onlinebanking einen überholten Verschlüsselungsstandard.
BERLIN taz | Geldinstitute nutzen für ihr Onlinebanking-Angebot häufig veraltete Verschlüsselungen. So setzen unter anderem diverse Sparkassen, die Landesbank Baden-Württemberg, aber auch die Postbank einen Standard namens RC4 ein, der als geknackt gilt. Geheimdienste und Kriminelle können in diesen Fällen mit etwas technischem Know-how mitlesen, was zwischen der Bank und dem Bankkunden hin und her geschickt wird – also etwa Kontodetails, Passwörter und TANs.
Fast jeder zweite Deutsche erledigt laut einer Erhebung des Branchenverbandes Bitkom seine Bankgeschäfte im Internet. Bei den Transaktionen im Netz wird zwischen dem heimischen Computer und dem Server der Bank eine verschlüsselte Verbindung aufgebaut. Zu erkennen ist das an dem https in der Adresszeile des Browsers.
Das Problem: Diese Verbindung kann mit unterschiedlicher Qualität verschlüsselt sein. So gibt es einen Standard mit dem Namen AES, der als gut gilt und von mehreren Banken wie etwa den von der taz getesteten Seiten von Volks- und Sparda-Banken, der Commerzbank oder der GLS-Bank verwendet wird.
Immer noch setzen Banken jedoch den mittlerweile veralteten Standard RC4 ein. Der gilt unter Experten als leicht zu entschlüsseln. Erst Anfang Oktober warnte der Kryptoexperte Jakob Appelbaum über Twitter: „RC4 wird von der NSA in Echtzeit geknackt – hört auf, es zu benutzen!“
Wer will und kann, kann abschalten
Die Banken, die den Mechanismus trotzdem noch verwenden, zeigen sich verschlossen. Die Postbank ließ eine Anfrage der taz ganz unbeantwortet. Die Hamburger Sparkasse weist darauf hin, dass sie darüber hinaus noch andere Verschlüsselungsverfahren anbietet. Warum sie ihre Server aber so einstellt, dass die gute Verschlüsselung nur dann funktioniert, wenn der Browser des Nutzers die schlechte explizit ablehnt, ließ ein Unternehmenssprecher offen.
Die Berliner Sparkasse und die Mercedes-Benz-Bank halten ihre Kunden mit den aktuellen Systemen für geschützt. Letztere argumentiert, dass Kunden grundsätzlich nur Geld von ihren Konten auf ein Referenzkonto transferieren können. Eine unsichere Verbindung mag damit für Kriminelle uninteressanter werden, für Geheimdienste jedoch nicht.
Ein Sprecher der Landesbank Baden-Württemberg weist darauf hin, dass Kunden doch selbst das veraltete Verfahren in ihrem Browser ausschalten können. Das ist zwar grundsätzlich richtig, erfordert aber ein Maß an technischen Kenntnissen, die weit über die eines durchschnittlichen Nutzers hinausgehen. Immerhin plant die Bank, das Verfahren umzustellen: Server und Browser sollen künftig mit der besten möglichen Verschlüsselung kommunizieren.
Daten der Vergangenheit
„RC4 ist beliebt, weil es sehr schnell arbeitet“, erklärt der Informatiker Kei Ishii, Projektleiter des Portals „Verbraucher sicher online“, das Bankeninteresse. Andere Verfahren würden deutlich mehr Rechenkraft und damit Investitionen in Hardware voraussetzen. Für Kriminelle gebe es zwar attraktivere Methoden, ein Konto zu kapern. Doch gehe es grundsätzlich um Schutz, etwa vor staatlichen Mitlesern.
IT-Experten fordern, dass auch die Banken, die jetzt schon den sichereren Mechanismus AES einsetzen, weiter nachbessern. Denn normalerweise ist die Zeit auf der Seite der Überwacher: Wird ein Schlüssel geknackt, sind alle gespeicherten Daten der Vergangenheit lesbar. Das verhindert ein Verfahren namens Perfect Forward Secrecy. Auffällig ist, dass Banken wie GLS, Triodus oder die Ethik-Bank, die auch bei ihren Investitionen andere Wege gehen als die Großbanken, dieses System bereits einsetzen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten
Nordkoreas Soldaten in Russland
Kim Jong Un liefert Kanonenfutter