SSL-Sicherheitslücke: Heartbleed trifft auch Onlinebanking

SSL-Sicherheitslücke: Heartbleed trifft auch Onlinebanking

von Mark Fehr

Die neu entdeckte Sicherheitslücke im Internet klafft auch beim sensiblen Onlinebanking – etwa bei der Commerzbank. Wie können Bankkunden feststellen, ob sie betroffen sind?

Deutsche Sparer führen mehr als 50 Millionen Bankkonten online, wickeln also einen großen Teil ihrer täglichen Bankgeschäfte über das Internet ab. Das kürzlich unter dem Schlagwort „Heartbleed“ bekannt gewordene Sicherheitsrisiko bei verschlüsselten Internetverbindungen betrifft also auch unzählige Bankkunden.

Zwei Jahre lang klaffte die möglicherweise gravierendste Sicherheitslücke in der Geschichte des Internets unbemerkt von der Öffentlichkeit. Konnten Kriminelle während dieser Zeit die Konten von Millionen Bankkunden unbemerkt ausspähen, um tiefe Einblicke in deren persönliche Finanzen zu erlangen oder sich per Identitätsklau sogar am Ersparten bedienen? Noch ist das Ausmaß möglicher Folgen und Schäden nicht abzusehen. Sparer müssen darauf hoffen, dass auch Kriminelle im Zweifel erst kürzlich von der Lücke Kenntnis erhalten haben und diese daher wenn überhaupt nur für einen kurzen Zeitraum ausnutzen konnten.

Anzeige

Die deutschen Banken haben erst reagiert, nachdem die Gefahr Anfang der Woche breit bekannt wurde. Ihre Server und Onlineportale haben die Institute eilig immerhin nachträglich gesichert. „Die OpenSSL-Software wurde von einigen privaten Banken genutzt. Diese haben ihre Systeme sofort nach Bekanntwerden auf die Schwachstelle hin überprüft und sie geschlossen“, sagt eine Sprecherin des Bundesverbands Deutscher Banken auf Anfrage der WirtschaftsWoche.

Reaktion USA Was die "Heartbleed"-Sicherheitslücke bedeutet

Das Kürzel SSL kennt jeder aus der Browser-Leiste, etwa wenn er sich bei seiner Bank anmeldet. Die Sicherheitslücke, die nun aufgedeckt wurde, hat gravierende Folgen. Die wichtigsten Antworten zu "Heartbleed".

Inzwischen wurde die Lücke auch in weit verbreiteter Netzwerk-Technik gefunden. Quelle: REUTERS

Das Thema beschäftigt allerdings nicht nur die privaten Banken, sondern die gesamte deutsche Kreditwirtschaft. „Die Banken und Sparkassen befinden sich diesbezüglich im engem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik“, heißt es dazu beim zentralen Verband der Geldbranche. Betroffen ist unter anderem die Commerzbank, Deutschlands zweitgrößtes Kreditinstitut mit rund 15 Millionen Privatkunden. „Wir haben die betroffenen Systeme identifiziert und die Schwachstelle beseitigt“, sagt ein Sprecher des Unternehmens auf Anfrage der WirtschaftsWoche. Der Branchenprimus Deutsche Bank äußert sich nicht und verweist auf die Stellungnahme des Bankenverbands.

Ist damit jetzt alles erledigt? Ein mulmiges Gefühl wird erst mal bleiben. Das Problem: Ein Fehler bei der auf vielen Servern und kommerziellen Webseiten genutzten Verschlüsselungssoftware OpenSSL ermöglicht es potenziellen Angreifern, Passwörter und Datenaustausch zwischen Onlinekunden und Bank abzufangen und einzusehen. Die als verschlüsselte Verbindung vermarktete Kommunikation hat sich als in höchstem Maße unsicher entpuppt.

Weitere Artikel

„Die besondere Gefahr besteht darin, dass nicht nur Webserver von Unternehmen betroffen sind, sondern auch die Geräte der Nutzer, die auf die Dienste zugreifen“, sagt Lukas Grunwald von der IT-Sicherheitsfirma Greenbone Networks in Osnabrück. Betroffen seien also auch private Computer und Smartphones. Besorgten Bankkunden empfiehlt der IT-Experte, die Sicherheitszertifikate ihres Geldinstituts zu prüfen.

Das ist schnell und einfach möglich. Wer dem Onlinekonto seiner Bank nach dem Heartbleed-Schock nicht mehr über den Weg traut, sollte das Datum des Sicherheitszertifikats der jeweiligen Banking-Webseite abrufen. Die Information lässt sich per Mausklick auf die Adresszeile des Internetbrowsers anzeigen, sobald das Kundenportal der Bank aufgerufen wurde. Im Fall der Commerzbank ist das derzeitige Sicherheitszertifikat seit Donnerstag, den 10. April gültig und läuft bis 30. März 2015. Die Bank hat das Zertifikat demnach gerade erst frisch erneuert, also unmittelbar nachdem die Sicherheitslücke breit bekannt geworden ist.

Nicht betroffen war dagegen offenbar die Commerzbank-Tochter comdirect. „Unser Onlineportal hat die SSL-Sicherheitslücke nicht“, sagt eine Sprecherin der Direktbank. Die comdirect hat das Sicherheitszertifikat für ihre Internetseite daher nicht ausgetauscht. Es gilt vom 19. April 2013 bis 16. Mai diesen Jahres.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%