Online-Banking: Sicherheitslücke bei der Zürcher Kantonalbank
saldo hat zehn Schweizer Online-Banken-Portale auf ihre Sicherheit überprüfen lassen. Fazit: Nicht alle Anbieter sind auf dem neusten Stand der Technik.
Inhalt
saldo 20/2008
01.12.2008
Letzte Aktualisierung:
02.12.2008
Mirjam Fonti
Online-Banking ist praktisch: Der Kunde kann seine Geldgeschäfte zu jeder Tageszeit und von überall aus erledigen. Auf der anderen Seite versuchen Hacker alles, um an das Geld der E-Banking-Nutzer zu kommen. In den letzten Jahren waren etwa die Migrosbank, die Zürcher Kantonalbank oder Postfinance Opfer von Angriffen. Betroffen waren jeweils eine Handvoll Nutzer.
Darum fragen sich viele Bankkunden, ob Online-Banking wirklich sicher ist. saldo wollte es genau wissen u...
Online-Banking ist praktisch: Der Kunde kann seine Geldgeschäfte zu jeder Tageszeit und von überall aus erledigen. Auf der anderen Seite versuchen Hacker alles, um an das Geld der E-Banking-Nutzer zu kommen. In den letzten Jahren waren etwa die Migrosbank, die Zürcher Kantonalbank oder Postfinance Opfer von Angriffen. Betroffen waren jeweils eine Handvoll Nutzer.
Darum fragen sich viele Bankkunden, ob Online-Banking wirklich sicher ist. saldo wollte es genau wissen und hat darum die deutsche Sicherheitsfirma Syss GmbH beauftragt, bei zehn Schweizer Banken Schwachstellen und Programmierfehler ausfindig zu machen. Der Sicherheitscheck bestand aus drei Punkten:
- Die Syss GmbH prüfte erstens, ob die Web-Anwendungen der Banken sicher sind oder ob es Lücken gibt, die Hacker ausnützen könnten.
- Zweitens haben die Syss-Experten bewertet, wie sicher bei den einzelnen Banken das Login-Verfahren ist.
- Drittens wurde ermittelt, ob die Banken es den Nutzern ermöglichen, die Echtheit der aufgerufenen Seite zu überprüfen.
Dieser Sicherheitscheck wurde bei folgenden Banken durchgeführt: Bank Coop, Basler Kantonalbank (BKB), Credit Suisse, Migrosbank, Neue Aargauer Bank, Postfinance, Raiffeisen, UBS, Valiant und Zürcher Kantonalbank (ZKB).
ZKB: Schwachstelle sofort behoben
Die gute Nachricht: Die Experten wurde nur bei der ZKB fündig. Die hier entdeckte Schwachstelle hätte es Betrügern erlaubt, die Website der Bank zu manipulieren. Die ZKB-Pressestelle bezeichnet in ihrer Stellungnahme die Schwachstelle als einen «absolut exotischen Fall». Die Lücke sei auf einer Seite gefunden worden, die nur bei schwerwiegenden technischen Fehlern auftrete, etwa bei Netzwerk- oder Hardware-Problemen. Die Session werde dann jeweils automatisch beendet: «Wir glauben deshalb, dass die Schwachstelle nur begrenzt ausgenutzt werden könnte», so ZKB-Sprecher Diego Wider. Trotzdem habe man das Problem sofort behoben.
Syss-Testexperte Alexander Brachmann hält jedoch fest, dass bei einem gezielten Angriff die veränderte Seite jederzeit auch ohne Fehler angezeigt werden könnte. «Die Kunden würden getäuscht und die Benutzerdaten wären an den Täter übermittelt worden.»
Wichtig sind neben einem sicheren Online-Portal der Bank geschützte Login-Verfahren. Hier kommen die Syss-Experten zu folgender Einschätzung.
- Bedingt sicheres Login: Anmeldesysteme, die neben einem Pin nur eine Transaktionsnummer von einer Streichliste verlangen, gelten als wenig sicher. «Sie bergen viel Angriffsfläche», so Brachmann. Für Hacker sei es relativ einfach, an alle wichtigen Login-Daten zu kommen. Trotzdem bieten einige Banken dieses Verfahren weiterhin an. Bei der BKB, der Bank Coop und Valiant kommt es ausschliesslich zum Einsatz, bei Raiffeisen, Migrosbank und ZKB kann der Kunde sich auch für ein anderes Verfahren entscheiden. Brachmann empfiehlt, Alternativen unbedingt zu bevorzugen.
- Sicheres Login: Sicherer sind Verfahren, bei denen der Kunde die Transaktionsnummer erst dann erhält, wenn er sich tatsächlich einloggen will. So können Kunden der ZKB und der Raiffeisen sich die Transaktionsnummer per SMS zukommen lassen. Der Code ist nur kurze Zeit gültig. Dasselbe gilt für Transaktionsnummern, die von einer Hardware per Knopfdruck generiert werden. Meist handelt es sich um Kartenlesegeräte, die wie Taschenrechner aussehen. Dieses System wird von der Postfinance, der Credit Suisse, der UBS und der Neuen Aargauer Bank angewendet.
- Das sicherste Login: Das fortschrittlichste Anmeldesystem setzt laut den Syss-Experten derzeit die Migrosbank ein. Das neu eingeführte System besteht aus einem USB-Stick sowie einer Chipkarte mit PIN-Code. Der USB-Stick enthält einen eigenen Webbrowser. Dieser kann die Online-Banking-Anwendung aufstarten, ohne dafür den auf dem Computer installierten Browser zu benutzen.
Dank dieser Trennung von den übrigen Internetprogrammen auf dem Computer ist das System geschützt. Die Migrosbank verspricht, dass schon bald sämtliche Kunden vom neuen Login-System profitieren könnten. Wöchentlich würden 5000 Kunden zusätzlich ausgerüstet.
Valiant kündigt an, 2009 ein ähnliches System wie die Migros einzuführen. Auch die BKB und die Bank Coop wollen die Authentifizierungs-Möglichkeiten gegen Ende 2009 erweitern.
Sichere Verbindung lässt sich nochmals überprüfen
Bei vielen Betrugsversuchen arbeiten die Drahtzieher mit Websites, die dem Original sehr ähnlich sehen. Für den Kunden gibt es jedoch eine Möglichkeit, die Echtheit der Seite zu überprüfen. Dazu muss er die gesicherte Verbindung (SSL-Verbindung) genauer anschauen. Dies ist möglich, indem er sich das Sicherheitszertifikat der Website anzeigen lässt (siehe unten). Dieses enthält neben Angaben zum Inhaber des Zertifikats einen digitalen Fingerprint. Beim Fingerprint handelt es sich um einen langen Code aus Zahlen und Buchstaben, der nicht gefälscht werden kann. Diesen kann der Kunde mit dem Fingerprint abgleichen, den er von der Bank erhält oder anfordern kann.
Fingerprint-Test nicht bei allen Banken möglich
Die Stichprobe hat gezeigt, dass nicht alle Banken es den Kunden ermöglichen, diese Prüfung tatsächlich durchzuführen. Bei der Credit Suisse, der Bank Coop, der Neuen Aargauer Bank und bei Valiant war es während des Testzeitraums nicht möglich, den digitalen Fingerprint zu überprüfen, weil sich nirgends auf der Website Informationen zum Fingerprint fanden.
Die Unternehmen reagieren unterschiedlich auf diese Feststellung. Die Credit Suisse und deren Tochter, die Neue Aargauer Bank, halten den Abgleich für zu kompliziert und aufwendig für den Kunden und verzichten daher darauf. Bank Coop und Valiant dagegen wollen ihre Seiten überarbeiten und den Abgleich künftig ermöglichen.
So prüfen Sie die Website Ihrer Bank
- Geben Sie die Internet-Adresse (URL) des Online-Banking-Portals von Hand ein. Beginnen Sie die Eingabe immer mit «https://».
- Nach dem Aufruf der Website ist die Verbindung auf Verschlüsselung zu kontrollieren. Ein geschlossenes Vorhängeschloss-Symbol an der oberen oder unteren Fensterleiste bestätigt die Verschlüsselung.
- Durch Klicken auf dieses Vorhängeschloss können Sie sich das Sicherheitszertifikat der Website anzeigen lassen. Überprüfen Sie in diesem Fenster unter «ausgestellt für», ob die von Hand eingegebene URL mit dem angezeigten Namen im Zertifikat übereinstimmt.
- Kontrollieren Sie die Gültigkeitsdauer des Zertifikats.
- Überprüfen Sie den auf dem Zertifikat angegebenen digitalen Fingerprint. Er besteht aus einer Zahlen-Buchstaben-Reihe. Die meisten Banken publizieren den gültigen Code auf ihrer Website. Ansonsten direkt bei der Bank nachfragen. Der Code muss mit dem im Zertifikat stehenden Fingerprint übereinstimmen.
