WiWo App Jetzt gratis testen
Anzeigen

SSL-Sicherheitslücke Heartbleed trifft auch Onlinebanking

Die neu entdeckte Sicherheitslücke im Internet klafft auch beim sensiblen Onlinebanking – etwa bei der Commerzbank. Wie können Bankkunden feststellen, ob sie betroffen sind?

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

Deutsche Sparer führen mehr als 50 Millionen Bankkonten online, wickeln also einen großen Teil ihrer täglichen Bankgeschäfte über das Internet ab. Das kürzlich unter dem Schlagwort „Heartbleed“ bekannt gewordene Sicherheitsrisiko bei verschlüsselten Internetverbindungen betrifft also auch unzählige Bankkunden.

Zwei Jahre lang klaffte die möglicherweise gravierendste Sicherheitslücke in der Geschichte des Internets unbemerkt von der Öffentlichkeit. Konnten Kriminelle während dieser Zeit die Konten von Millionen Bankkunden unbemerkt ausspähen, um tiefe Einblicke in deren persönliche Finanzen zu erlangen oder sich per Identitätsklau sogar am Ersparten bedienen? Noch ist das Ausmaß möglicher Folgen und Schäden nicht abzusehen. Sparer müssen darauf hoffen, dass auch Kriminelle im Zweifel erst kürzlich von der Lücke Kenntnis erhalten haben und diese daher wenn überhaupt nur für einen kurzen Zeitraum ausnutzen konnten.

Die deutschen Banken haben erst reagiert, nachdem die Gefahr Anfang der Woche breit bekannt wurde. Ihre Server und Onlineportale haben die Institute eilig immerhin nachträglich gesichert. „Die OpenSSL-Software wurde von einigen privaten Banken genutzt. Diese haben ihre Systeme sofort nach Bekanntwerden auf die Schwachstelle hin überprüft und sie geschlossen“, sagt eine Sprecherin des Bundesverbands Deutscher Banken auf Anfrage der WirtschaftsWoche.

Das Thema beschäftigt allerdings nicht nur die privaten Banken, sondern die gesamte deutsche Kreditwirtschaft. „Die Banken und Sparkassen befinden sich diesbezüglich im engem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik“, heißt es dazu beim zentralen Verband der Geldbranche. Betroffen ist unter anderem die Commerzbank, Deutschlands zweitgrößtes Kreditinstitut mit rund 15 Millionen Privatkunden. „Wir haben die betroffenen Systeme identifiziert und die Schwachstelle beseitigt“, sagt ein Sprecher des Unternehmens auf Anfrage der WirtschaftsWoche. Der Branchenprimus Deutsche Bank äußert sich nicht und verweist auf die Stellungnahme des Bankenverbands.

Ist damit jetzt alles erledigt? Ein mulmiges Gefühl wird erst mal bleiben. Das Problem: Ein Fehler bei der auf vielen Servern und kommerziellen Webseiten genutzten Verschlüsselungssoftware OpenSSL ermöglicht es potenziellen Angreifern, Passwörter und Datenaustausch zwischen Onlinekunden und Bank abzufangen und einzusehen. Die als verschlüsselte Verbindung vermarktete Kommunikation hat sich als in höchstem Maße unsicher entpuppt.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

„Die besondere Gefahr besteht darin, dass nicht nur Webserver von Unternehmen betroffen sind, sondern auch die Geräte der Nutzer, die auf die Dienste zugreifen“, sagt Lukas Grunwald von der IT-Sicherheitsfirma Greenbone Networks in Osnabrück. Betroffen seien also auch private Computer und Smartphones. Besorgten Bankkunden empfiehlt der IT-Experte, die Sicherheitszertifikate ihres Geldinstituts zu prüfen.

Das ist schnell und einfach möglich. Wer dem Onlinekonto seiner Bank nach dem Heartbleed-Schock nicht mehr über den Weg traut, sollte das Datum des Sicherheitszertifikats der jeweiligen Banking-Webseite abrufen. Die Information lässt sich per Mausklick auf die Adresszeile des Internetbrowsers anzeigen, sobald das Kundenportal der Bank aufgerufen wurde. Im Fall der Commerzbank ist das derzeitige Sicherheitszertifikat seit Donnerstag, den 10. April gültig und läuft bis 30. März 2015. Die Bank hat das Zertifikat demnach gerade erst frisch erneuert, also unmittelbar nachdem die Sicherheitslücke breit bekannt geworden ist.

Nicht betroffen war dagegen offenbar die Commerzbank-Tochter comdirect. „Unser Onlineportal hat die SSL-Sicherheitslücke nicht“, sagt eine Sprecherin der Direktbank. Die comdirect hat das Sicherheitszertifikat für ihre Internetseite daher nicht ausgetauscht. Es gilt vom 19. April 2013 bis 16. Mai diesen Jahres.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%