Nach dem Bekanntwerden des Sicherheitslecks "Heartbleed" vor einigen Wochen hatte der Bund vorübergehend vor Online-Überweisungen gewarnt. Inzwischen haben die Banken und andere Finanz-Institutionen die "Heartbleed"-Löcher in der OpenSSL-Verschlüsselungstechnik gestopft. Doch die Frage nach der Sicherheit von Online-Banking in der Schweiz bleibt.
Grundsätzlich seien die Schweizer E-Banking-Systeme sehr sicher, sagt Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani). "Durch die Drei-Wege-Authentifizierung, die heute als Standard gilt, ist die Hürde für einen Hacker sehr hoch und der Aufwand dementsprechend gross." Zwar registriere Melani immer wieder Hacker-Angriffe, doch es finde dadurch praktisch kein Geldabfluss statt, so Lamia gegenüber cash.
Die Sicherheitslücke RC4
Allerdings gibt es Informatikerkreise, die auf eine Sicherheitslücke beim elektronischen Zahlungsverkehr hinweisen: den Verschlüsselungsalgorithmus RC4. Dieser kommt bei der Kommunikation zwischen dem Browser des Kunden und der E-Banking-Plattform der Bank zum Zug. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das deutsche Pendant zu Melani, hat jüngst ausdrücklich vor RC4 gewarnt: "RC4 in LTS weist erhebliche Sicherheitsschwächen auf und darf nicht mehr eingesetzt werden". In Deutschland gibt es denn auch Konsumenten-Webseiten, die damit gar Jagd auf "die unsicherste Bank Deutschlands" machen.
Überprüft man die E-Banking-Portale Schweizer Banken mittels SSL-Server-Test (beispielsweise auf ssllabs.com) auf die Verwendung von RC4-Verschlüsselungen, wird deutlich, dass diese Technologie auch hierzulande bei mehreren Banken noch in Gebrauch ist: Bei der Credit Suisse, der Raiffeisen-Gruppe, der Neuen Aargauer Bank und der Thurgauer Kantonalbank wird diese Technologie mit besonders vielen Browsern eingesetzt.
Grund dafür, dass Banken die veraltete Online-Technik noch einsetzen, ist die Reichweite. Die CS sagt auf Anfrage, dass sie RC4 aus Gründen der Kompatibilität unterstütze, ihr Sicherheitskonzept aber laufend überwache, prüfe und bei Bedarf anpasse.
Bei der Raiffeisen-Gruppe wird die Konfiguration im E-Banking so angepasst, dass in einem Monat nur noch mit älteren Browsern RC4 verwendet wird. "Ältere Browser unterstützen zum Teil die neusten Cipher-Algorithmen nicht. Beim kompletten Deaktivieren von RC4 würden ältere Browser auf Algorithmen fallen, welche verwundbarer sind als solche mit RC4", sagt Raiffeisen-Sprecherin Sonja Stieglbauer gegenüber cash.
Nicht mehr "State of the art"
Wie die deutschen Experten empfiehlt indes auch Peter E. Fischer, Leiter Kompetenzzentrum Informationssicherheit der Hochschule Luzern, die RC4-Verschlüsselung nicht weiter zu benutzen, da sie nicht mehr "State of the Art" sei. "Diese Technologie sollte durch eine modernere abgelöst werden. Heutiger Standard ist die sogenannte AES-Verschlüsselung", sagt Fischer zu cash.
Weil aber jede Bank mehrere Sicherheitshürden in ihren E-Banking-Prozess eingebaut hat – in der Regel sind Vertragsnummer, Passwort und ein wechselnder Zugangscode erforderlich – erachtet Fischer die Verwendung von RC4 nicht als entscheidend. "Beim Hacken eines E-Banking-Accounts muss auf jeden Fall ein grosser Aufwand betrieben werden." Für Fischer steht deshalb fest: "Ich persönlich würde die Bank wegen RC4 nicht wechseln."
Risikofaktor Kunde
Melani-Leiter Pascal Lamia ist ebenfalls der Ansicht, dass der RC4-Algorithmus nicht gravierend ist für die Sicherheit eines Portals. "Wenn es ein Sicherheitsproblem gibt, dann liegt es in den allermeisten Fällen beim Computer des Bankkunden und nicht bei der Bank selber." Das ist auch der Grund, weshalb Melani bis jetzt keine Warnung herausgegeben hat, wie es das BSI tat. "Wir geben eine RC4-Warnung heraus, wenn diese Verschlüsselung nachvollziehbar gehackt wurde und wir das dadurch entstandene Sicherheitsrisiko als hoch einschätzen. Das ist bis jetzt aber nicht der Fall", sagt Lamia.
Laut Sicherheitsexperte Fischer stellt die Abwägung zwischen Vor- und Nachteilen von RC4-Algorithmen schlussendlich ein Management-Entscheid dar: "Setzen wir auf möglichst hohe Sicherheit oder wollen wir die Kompatibilität mit möglichst vielen, älteren Browsern gewährleisten?"
