Wissen: Postbank Online-Banking sicherer machen

Geschrieben von Robert McHardy am 17.04.2014.

NEU_standard_avatar_apc

Wenn Millionen von Kunden ihr Geld einem Anbieter anvertrauen, dann ist davon auszugehen, dass dieser auch für die Sicherheit dieses Geldes sorgt. In letzter Zeit Häufen sich Sicherheitslücken im Bezug auf Webseiten, die mit SSL gesichert sind.

Abgesehen von dem sogenannten „Heartbleed-Bug“, welcher in OpenSSL enthalten war und das Auslesen des Speichers des Servers ermöglicht, gibt es auch einfach unsichere Verschlüsselungen. Bei der Postbank, welcher immerhin eine der größten Banken in Deutschland darstellt, wird auf eine solche Verschlüsselung gesetzt. Mit der sogenannten „RC4“-Verschlüsselung ist es Angreifern möglich den gesamten Datenverkehr in Echtzeit auszulesen und zu entschlüsseln.

Das Bundesamt für Sicherheit in der Informationstechnik warnt ausdrücklich vor der Verwendung von „RC4“ und sagt dazu „Der Verschlüsselungsalgorithmus RC4 in TLS weist erhebliche Sicherheitsschwächen auf und darf nicht mehr eingesetzt werden“. Des Weiteren sagt das BSI dazu, dass „RC4“ bis maximal 2013 verwendet werden soll. Mit dem Firefox ist es möglich, dieses Verschlüsselungsverfahren auf eine Blacklist zu setzen, sodass auf eine sichere Alternative ausgewichen wird.

 

Sicherheit wiederherstellen

Dafür muss in der Adressleiste des Browsers „about:config“ eingegeben werden und mit der integrierten Suche nach „RC4“ gesucht werden. Alle gefundenen Werte müssen auf false gesetzt werden. Mit einem Klick auf das Vorhängeschloss auf der Postbank-Webseite, lässt sich die verwendete Verschlüsselung überprüfen.

 

Die Postbank setzt auf das unsichere "RC4"-Verfahren

Die Postbank setzt auf das unsichere „RC4“-Verfahren

Nutzer von Googles Chrome können auch die Verwendung einer sicheren Verschlüsselung erzwingen, wobei dies deutlich umständlicher ist, als bei Firefox. Dafür müssen an die Verknüpfung von Chrome einige Parameter übergeben werden. Diese sagen dem Browser, in Hex-Ziffern, welche Verschlüsselungen nicht verwendet werden dürfen. Der genaue Befehl lautet dabei:

„–cipher-suite-blacklist=0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xc002,0xc007,0xc00c,0xc011,

0xc016,0xff80,0xff81,0xff82,0xff83″

Postbank

Dieser muss, wie in dem Screenshot ersichtlich wird, im Reiter „Ziel“, hinter den eigentlichen Pfad zur Chrome.exe angehängt werden. Danach steht eine sichere Verschlüsselung auf Basis von AES zur Verfügung.

Postbank AES

Danach steht eine AES Verschlüsselung zur Verfügung

Postbank reagiert nicht

Trotz mehrfacher Anfragen verschiedener Kunden und der allgemeinen Kritik von „RC4“ in den Medien, wobei diese hauptsächlich letzten September ausgeübt wurde, setzt die Postbank weiterhin auf die unsichere Verschlüsselung. In einer Stellungsnahme der Postbank, die uns vorliegt, heißt es „Dass Kunden, die bereits über einen Browser verfügen, […], ohne weiteres Zutun des Anwenders mit der höchstmöglichen Verschlüsselung arbeitet“. Das widerspricht natürlich der Empfehlung des BSI und sämtlichen Experten aus der IT-Branche, die „RC4“ als definitiv unsicher abstempeln. In unserem Test mit den neusten Versionen von Firefox und Chrome wurde jeweils die unsichere Verschlüsselung gewählt.

Fazit

Wie wir in unserem Test zeigen konnten, setzt die Postbank auf eine Verschlüsselung, die laut dem Bundesamt für Sicherheit in der Informationstechnik schon längst nicht mehr verwendet sein sollte. Dies ermöglicht es Angreifern Passwörter und Zugangsdaten zu Postbank-Konten herauszufinden und somit hohe Summen an Geld zu entwenden. Um die Postbank (und weitere Webseiten) dazu zu bringen, dass tatsächlich auf eine sichere Alternative gesetzt wird, sollten sie unbedingt überprüfen ob ihre Bank eventuell auch auf „RC4“ setzt und wenn dem so ist, ihre Bank dahingehend informieren.

Anzeige:


Quellen :

BSI
SemperVideo
PreGos

Tags:,

Trackback von deiner Website.

Robert McHardy

hat von Juni 2013 bis September 2014 Artikel für Allround-PC verfasst.

Kommentieren

Alle Angaben OHNE Gewähr! Alle Produktbezeichnungen bzw. Herstellernamen sind Eigentum der jew. Firmen!
Allround-PC übernimmt keine Haftung für evtl. Schäden bzw. Informationen oder Links auf dieser Seite, bzw. der verlinkten Seiten!
© Allround-PC 2015 | Kontakt | Impressum | Datenschutzerklärung | Mediadaten