OpenSSL

09. April 2014 18:04; Akt: 09.04.2014 18:19 Print

E-Banking-Leck – so müssen Sie sich verhalten

Eine Lücke bei der Verschlüsselungssoftware OpenSSL versetzt Nutzer von E-Mail-Diensten und E-Banking in Aufregung. Sind die Systeme noch sicher? 20 Minuten klärt die wichtigen Fragen.

storybild
Zum Thema
Fehler gesehen?

Was ist OpenSSL?
Das Verschlüsselungsprotokoll OpenSSL (Secure Socket Layer) soll für eine geschützte Verbindung zwischen einem Internetnutzer und Servern im Internet sorgen. Die Software sorgt dafür, dass bei der Übertragung Daten verschlüsselt werden und Dritte nicht mithören können. Die gesicherte Verbindung erkennt man meist in der Adresszeile des Browsers, wo «https://» statt «http://» steht.

Was ist das Problem?
Ein gravierender Programmierfehler bei aktuellen OpenSSL-Versionen hebelt diesen Schutzmechanismus aus. Die Entdecker der Lücke, das Sicherheitsunternehmen Fox-IT, hat den Fehler auf den Namen Heartbleed (blutendes Herz) getauft. Hacker können sich über das Leck Zugriff auf einen Server verschaffen und dort im grossen Stil sonst eigentlich verschlüsselte Informationen auslesen. Laut den Entdeckern gelang es in einem Test, Benutzernamen, Passwörter und E-Mails zu stehlen. Auch hochsensible Informationen wie Kreditkartendaten sind auf den betroffenen Servern nicht sicher. Spuren hinterlassen die Angreifer dabei keine, weshalb schwer zu sagen ist, ob der Bug in der Vergangenheit ausgenutzt wurde. Denn: Dieser besteht bereits seit zwei Jahren. Erst am Montagabend wurde er publik gemacht.

Welche Dienste sind gefährdet?
OpenSSL gehört zu den beliebtesten Verschlüsselungsbibliotheken und da es – auch für kommerzielle Nutzung – gratis ist, ist das Protokoll entsprechend weit verbreitet. Experten schätzen, dass rund die Hälfte aller Webserver weltweit betroffen sind. Dazu gehören nicht nur Mailprovider oder Finanzinstitute, sondern auch Portale von Krankenkassen oder andere Websites wie Online-Shops oder Social-Media-Portale, die ein verschlüsseltes Login (https) anbieten und die verwundbare OpenSSL-Versionen einsetzen.

Wie erkenne ich, ob ein Server verwundbar ist?
Ob ein Dienst angreifbar ist, kann auf dieser Website geprüft werden. Betroffen sind allerdings auch nicht browserbasierte, verschlüsselte Dienste wie Smartphone-Apps, Chatdienste (zum Beispiel Jabber), Cloud-Speicher, Streaming-Dienste, VPN-Zugänge und weitere. Ebenfalls betroffen sind Netzwerkgeräte wie Router und Switches.

Was empfiehlt die Präventionsstelle?
Die Melde- und Analysestelle Informationssicherheit (Melani) in Bern richtete am Mittwoch eine Warnung an die Internetnutzer und empfiehlt, in den nächsten 48 Stunden auf die Übermittlung sensibler Daten im Internet – dazu zähle auch das E-Banking – wenn möglich zu verzichten. Grund für den von der Analysestelle definierten Zeitraum: Die betroffenen Server müssen nun auf die neuste Version von OpenSSL aktualisiert werden. Gefordert sind also in erster Linie die Systemadministratoren.

Was sagen die Banken?
Sie geben grundsätzlich Entwarnung. Auf Anfrage von 20 Minuten sagt Postfinance-Specher Marc Andrey, man habe die Sicherheitslücke geschlossen. Betroffen vom Leck waren mehrere Applikationen, darunter E-Finance und Postfinance.ch. «Uns ist kein Fall bekannt, bei dem die Sicherheitslücke von Betrügern ausgenutzt worden wäre», so Andrey. Ähnlich tönt es bei Raiffeisen: «Wir haben das Problem rechtzeitig erkannt und die Sicherheitslücke geschlossen», so Sprecherin Sonja Stieglbauer. Das Problem war Raiffeisen seit Montag bekannt, die Lücke hat man innerhalb von 24 Stunden geschlossen. Attacken hat die Bank keine festgestellt. Und bei der Credit Suisse heisst es, man sei gerade dabei, das Problem zu beheben. Auch wenn die Bank von der Sicherheitslücke betroffen war, betont CS-Sprecher Thomas Baer: «OpenSSL ist nur eines von mehreren Sicherheitselementen zur Gewährleistung der Datensicherheit im Online-Banking.» Bei der UBS heisst es auf Anfrage, man sei nicht vom Problem betroffen gewesen.

So informieren die Banken ihre Kunden
Raiffeisen schreibt auf ihre Website, dass das E-Banking und die Website wie gewohnt genutzt werden können. Die CS informiert ihre Kunden mit einer Infobox auf der Website und Postfinance schreibt auf Twitter: «Entwarnung: E-Finance und Postfinance.ch sind nicht gefährdet.»

Ist mit dem Update das Problem gelöst?
Mit dem Update alleine ist die Lücke unter Umständen noch nicht vollständig gestopft. Denn Angreifer könnten bereits die Server-Zertifikate ausgelesen haben. Dieser private Schlüssel ist quasi der heilige Gral der Kryptografie. Damit kann «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsselt werden», heisst es auf der Website von Heartbleed. Sicher ist der Dienst darum erst wieder, wenn die Betreiber auch die Zertifikate ausgetauscht haben, wie Heise.de berichtet.

Was kann ich persönlich gegen das Problem unternehmen?
«Für einen Endbenutzer ist es sehr schwierig, sich zu schützen, ausser er verzichtet auf sämtliche heiklen Transaktionen im Internet», schreibt Melani in ihrer Mitteilung. Wer in letzter Zeit verwundbare Websites oder Dienste genutzt hat, sollte all seine Passwörter ändern, sobald die jeweiligen Serverbetreiber die Lücke geschlossen und Zertifikate ausgetauscht haben, rät die Analysestelle. Präventiv kann in den nächsten Tagen vor der Übertragung sensibler Daten über obige Website geprüft werden, ob der Server ein Leck hat. Zuletzt bleibt den Nutzern nur zu hoffen, dass die Betreiber der Server ihre Hausaufgaben machen werden.

(tob/sas/dv)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • olaf/olafson am 09.04.2014 16:06 Report Diesen Beitrag melden

    Bankkonto Blank

    Jetzt ist mir klar, weshalb mein Bankkonto leergeräumt ist. Ich dachte immer, dass sei wegen mir.

  • Omay Gohd am 09.04.2014 16:59 Report Diesen Beitrag melden

    «Man sollte das Internet meiden»

    «Wo hast du das gelesen?» «Im Internet!»

  • ITOperat0r am 09.04.2014 22:41 via via Mobile Report Diesen Beitrag melden

    Sowieso schon zu spät..

    Wenn so eine Sicherheitsfirma wie FOX-IT schlau genug ist den Fehler zu finden, werden sie wohl nicht so dumm sein dies zu Veröffentlichen, bevor die (für sie) wichtigsten Betroffenen informiert sind.. Deshalb sind nun auch die meisten Systeme wieder auf dem neusten Stand. Was aber in den letzten 2 Jahren mit unseren Daten passiert ist kann und will natürlich niemand erklären..

Die neusten Leser-Kommentare

  • J. Meyer am 10.04.2014 10:35 Report Diesen Beitrag melden

    übertriebene panikmache

    Denke schon, das die Warnung ernst zu nehmen ist, aber ebenso ist es auch eine Hysterie. Schliesslich soll das Leck schon seit über 2 Jahren bestehen u kaum jemand merkte davon irgend etwas, oder doch? Sind Gelder plötzlich von Konten verschwunden oder ist mit fremden Accounts eingekauft worden in Massen? Auf der Homepage von Heartbleed wurde postfinance oder die Banken wie einige Server als sicher gemeldet, 20min hingegen nicht. Denke mir, trotz der Ernsthaftigkeit ist das dennoch eine übertriebene Panikmache.

  • Antonio Giovenni am 10.04.2014 09:37 Report Diesen Beitrag melden

    Zwängerei

    der Banken alles nur noch Online sonst kostet es zusätzlich Spesen aber dann weiss man nicht mehr wer alles plötzlich Zugriff auf meine Daten hat und wenn dann mein Geld weg ist bin ich dann als Benutzer schuldig. Irgendwann kracht das ganze zusammen.

    • S.A. am 10.04.2014 13:13 Report Diesen Beitrag melden

      Keine Zwängerei ...

      sondern Abzockerei!

    einklappen einklappen
  • E.B. am 10.04.2014 08:26 via via Mobile Report Diesen Beitrag melden

    E-Banking

    Leute, die deswegen auf E-Banking verzichten oder ihren Kontostand beklagen, haben das Problem nicht verstanden. Mit dem Bug konnten Daten ausgelesen werden (auch Passwörter). Damit lässt sich noch lange kein Geld abheben oder überweisen. Zumindest in der Schweiz reicht das nicht für eine erneute Anmeldung. Genau darum haben wir ja diese Gerätli zum Anmelden bekommen.

  • thom am 10.04.2014 08:07 Report Diesen Beitrag melden

    meine güte...

    So einfach wies hier einem glauben und verstehen lassen ist es nicht an solche Daten ran zu kommen geschweige den einem durch solch eine Lücke einem das Geld zu mopsen! diese Panik macherei ist wieder mal unnötig! aber super Zündstoff für jeden Hobby ITler der sein wissen mittels PCTipp am Kiosk angeeignet hat..

  • Sandra am 10.04.2014 07:21 Report Diesen Beitrag melden

    beabsichtigtes Sicherheitsloch

    dank der bewusst eingebauten Lücke in Open SSL hat der Staat nun von allen Bürgern den Zugriff auf die Mail Konten und die Staatsangestellten können mit den Daten machen was sie wollen.