OpenSSL: E-Banking-Leck – so müssen Sie sich verhalten
Aktualisiert

OpenSSLE-Banking-Leck – so müssen Sie sich verhalten

Eine Lücke bei der Verschlüsselungssoftware OpenSSL versetzt Nutzer von E-Mail-Diensten und E-Banking in Aufregung. Sind die Systeme noch sicher? 20 Minuten klärt die wichtigen Fragen.

von
tob/sas/dv

Was ist OpenSSL?

Das Verschlüsselungsprotokoll OpenSSL (Secure Socket Layer) soll für eine geschützte Verbindung zwischen einem Internetnutzer und Servern im Internet sorgen. Die Software sorgt dafür, dass bei der Übertragung Daten verschlüsselt werden und Dritte nicht mithören können. Die gesicherte Verbindung erkennt man meist in der Adresszeile des Browsers, wo «https://» statt «http://» steht.

Was ist das Problem?

Ein gravierender Programmierfehler bei aktuellen OpenSSL-Versionen hebelt diesen Schutzmechanismus aus. Die Entdecker der Lücke, das Sicherheitsunternehmen Fox-IT, hat den Fehler auf den Namen Heartbleed (blutendes Herz) getauft. Hacker können sich über das Leck Zugriff auf einen Server verschaffen und dort im grossen Stil sonst eigentlich verschlüsselte Informationen auslesen. Laut den Entdeckern gelang es in einem Test, Benutzernamen, Passwörter und E-Mails zu stehlen. Auch hochsensible Informationen wie Kreditkartendaten sind auf den betroffenen Servern nicht sicher. Spuren hinterlassen die Angreifer dabei keine, weshalb schwer zu sagen ist, ob der Bug in der Vergangenheit ausgenutzt wurde. Denn: Dieser besteht bereits seit zwei Jahren. Erst am Montagabend wurde er publik gemacht.

Welche Dienste sind gefährdet?

OpenSSL gehört zu den beliebtesten Verschlüsselungsbibliotheken und da es – auch für kommerzielle Nutzung – gratis ist, ist das Protokoll entsprechend weit verbreitet. Experten schätzen, dass rund die Hälfte aller Webserver weltweit betroffen sind. Dazu gehören nicht nur Mailprovider oder Finanzinstitute, sondern auch Portale von Krankenkassen oder andere Websites wie Online-Shops oder Social-Media-Portale, die ein verschlüsseltes Login (https) anbieten und die verwundbare OpenSSL-Versionen einsetzen.

Wie erkenne ich, ob ein Server verwundbar ist?

Ob ein Dienst angreifbar ist, kann auf dieser Website geprüft werden. Betroffen sind allerdings auch nicht browserbasierte, verschlüsselte Dienste wie Smartphone-Apps, Chatdienste (zum Beispiel Jabber), Cloud-Speicher, Streaming-Dienste, VPN-Zugänge und weitere. Ebenfalls betroffen sind Netzwerkgeräte wie Router und Switches.

Was empfiehlt die Präventionsstelle?

Die Melde- und Analysestelle Informationssicherheit (Melani) in Bern richtete am Mittwoch eine Warnung an die Internetnutzer und empfiehlt, in den nächsten 48 Stunden auf die Übermittlung sensibler Daten im Internet – dazu zähle auch das E-Banking – wenn möglich zu verzichten. Grund für den von der Analysestelle definierten Zeitraum: Die betroffenen Server müssen nun auf die neuste Version von OpenSSL aktualisiert werden. Gefordert sind also in erster Linie die Systemadministratoren.

Was sagen die Banken?

Sie geben grundsätzlich Entwarnung. Auf Anfrage von 20 Minuten sagt Postfinance-Specher Marc Andrey, man habe die Sicherheitslücke geschlossen. Betroffen vom Leck waren mehrere Applikationen, darunter E-Finance und Postfinance.ch. «Uns ist kein Fall bekannt, bei dem die Sicherheitslücke von Betrügern ausgenutzt worden wäre», so Andrey. Ähnlich tönt es bei Raiffeisen: «Wir haben das Problem rechtzeitig erkannt und die Sicherheitslücke geschlossen», so Sprecherin Sonja Stieglbauer. Das Problem war Raiffeisen seit Montag bekannt, die Lücke hat man innerhalb von 24 Stunden geschlossen. Attacken hat die Bank keine festgestellt. Und bei der Credit Suisse heisst es, man sei gerade dabei, das Problem zu beheben. Auch wenn die Bank von der Sicherheitslücke betroffen war, betont CS-Sprecher Thomas Baer: «OpenSSL ist nur eines von mehreren Sicherheitselementen zur Gewährleistung der Datensicherheit im Online-Banking.» Bei der UBS heisst es auf Anfrage, man sei nicht vom Problem betroffen gewesen.

So informieren die Banken ihre Kunden

Raiffeisen schreibt auf ihre Website, dass das E-Banking und die Website wie gewohnt genutzt werden können. Die CS informiert ihre Kunden mit einer Infobox auf der Website und Postfinance schreibt auf Twitter: «Entwarnung: E-Finance und Postfinance.ch sind nicht gefährdet.»

Ist mit dem Update das Problem gelöst?

Mit dem Update alleine ist die Lücke unter Umständen noch nicht vollständig gestopft. Denn Angreifer könnten bereits die Server-Zertifikate ausgelesen haben. Dieser private Schlüssel ist quasi der heilige Gral der Kryptografie. Damit kann «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsselt werden», heisst es auf der Website von Heartbleed. Sicher ist der Dienst darum erst wieder, wenn die Betreiber auch die Zertifikate ausgetauscht haben, wie Heise.de berichtet.

Was kann ich persönlich gegen das Problem unternehmen?

«Für einen Endbenutzer ist es sehr schwierig, sich zu schützen, ausser er verzichtet auf sämtliche heiklen Transaktionen im Internet», schreibt Melani in ihrer Mitteilung. Wer in letzter Zeit verwundbare Websites oder Dienste genutzt hat, sollte all seine Passwörter ändern, sobald die jeweiligen Serverbetreiber die Lücke geschlossen und Zertifikate ausgetauscht haben, rät die Analysestelle. Präventiv kann in den nächsten Tagen vor der Übertragung sensibler Daten über obige Website geprüft werden, ob der Server ein Leck hat. Zuletzt bleibt den Nutzern nur zu hoffen, dass die Betreiber der Server ihre Hausaufgaben machen werden.

Deine Meinung