# taz.de -- Unsicheres Onlinebanking: Konto knacken leicht gemacht
> Kontodetails und Passwort von Bankkunden mitlesen? Kein Problem, denn
> viele Institute haben beim Onlinebanking einen überholten
> Verschlüsselungsstandard.
(IMG) Bild: Aufgepasst: Die Verbindung könnte schlecht verschlüsselt sein.
BERLIN taz | Geldinstitute nutzen für ihr Onlinebanking-Angebot häufig
veraltete Verschlüsselungen. So setzen unter anderem diverse Sparkassen,
die Landesbank Baden-Württemberg, aber auch die Postbank einen Standard
namens RC4 ein, der als geknackt gilt. Geheimdienste und Kriminelle können
in diesen Fällen mit etwas technischem Know-how mitlesen, was zwischen der
Bank und dem Bankkunden hin und her geschickt wird – also etwa
Kontodetails, Passwörter und TANs.
Fast jeder zweite Deutsche erledigt laut einer Erhebung des
Branchenverbandes Bitkom seine Bankgeschäfte im Internet. Bei den
Transaktionen im Netz wird zwischen dem heimischen Computer und dem Server
der Bank eine verschlüsselte Verbindung aufgebaut. Zu erkennen ist das an
dem https in der Adresszeile des Browsers.
Das Problem: Diese Verbindung kann mit unterschiedlicher Qualität
verschlüsselt sein. So gibt es einen Standard mit dem Namen AES, der als
gut gilt und von mehreren Banken wie etwa den von der taz getesteten Seiten
von Volks- und Sparda-Banken, der Commerzbank oder der GLS-Bank verwendet
wird.
Immer noch setzen Banken jedoch den mittlerweile veralteten Standard RC4
ein. Der gilt unter Experten als leicht zu entschlüsseln. Erst Anfang
Oktober warnte der Kryptoexperte Jakob Appelbaum über Twitter: „RC4 wird
von der NSA in Echtzeit geknackt – hört auf, es zu benutzen!“
## Wer will und kann, kann abschalten
Die Banken, die den Mechanismus trotzdem noch verwenden, zeigen sich
verschlossen. Die Postbank ließ eine Anfrage der taz ganz unbeantwortet.
Die Hamburger Sparkasse weist darauf hin, dass sie darüber hinaus noch
andere Verschlüsselungsverfahren anbietet. Warum sie ihre Server aber so
einstellt, dass die gute Verschlüsselung nur dann funktioniert, wenn der
Browser des Nutzers die schlechte explizit ablehnt, ließ ein
Unternehmenssprecher offen.
Die Berliner Sparkasse und die Mercedes-Benz-Bank halten ihre Kunden mit
den aktuellen Systemen für geschützt. Letztere argumentiert, dass Kunden
grundsätzlich nur Geld von ihren Konten auf ein Referenzkonto transferieren
können. Eine unsichere Verbindung mag damit für Kriminelle uninteressanter
werden, für Geheimdienste jedoch nicht.
Ein Sprecher der Landesbank Baden-Württemberg weist darauf hin, dass Kunden
doch selbst das veraltete Verfahren in ihrem Browser ausschalten können.
Das ist zwar grundsätzlich richtig, erfordert aber ein Maß an technischen
Kenntnissen, die weit über die eines durchschnittlichen Nutzers
hinausgehen. Immerhin plant die Bank, das Verfahren umzustellen: Server und
Browser sollen künftig mit der besten möglichen Verschlüsselung
kommunizieren.
## Daten der Vergangenheit
„RC4 ist beliebt, weil es sehr schnell arbeitet“, erklärt der Informatiker
Kei Ishii, Projektleiter des Portals „Verbraucher sicher online“, das
Bankeninteresse. Andere Verfahren würden deutlich mehr Rechenkraft und
damit Investitionen in Hardware voraussetzen. Für Kriminelle gebe es zwar
attraktivere Methoden, ein Konto zu kapern. Doch gehe es grundsätzlich um
Schutz, etwa vor staatlichen Mitlesern.
IT-Experten fordern, dass auch die Banken, die jetzt schon den sichereren
Mechanismus AES einsetzen, weiter nachbessern. Denn normalerweise ist die
Zeit auf der Seite der Überwacher: Wird ein Schlüssel geknackt, sind alle
gespeicherten Daten der Vergangenheit lesbar. Das verhindert ein Verfahren
namens Perfect Forward Secrecy. Auffällig ist, dass Banken wie GLS, Triodus
oder die Ethik-Bank, die auch bei ihren Investitionen andere Wege gehen als
die Großbanken, dieses System bereits einsetzen.
1 Dec 2013
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Sparkasse
(DIR) Konto
(DIR) Passwort
(DIR) Datenschutz
(DIR) Email
(DIR) Deutsche Bank
(DIR) Hacker
(DIR) Thomas Drake
(DIR) Datenkrake
## ARTIKEL ZUM THEMA
(DIR) Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“
Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint
Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails
schreiben.
(DIR) BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle
anderen.
(DIR) Wegen Zinsmanipulationen: EU straft Deutsche Bank ab
Notorische Sünder: Die EU-Kommission brummt acht Geldhäusern Rekordbußen
auf. Sie hatten Zinsabsprachen manipuliert.
(DIR) Neue Betrugsform beim Onlinebanking: Per mTan-Verfahren abgezockt
Sicherheitslücken beim Onlinebanking mit TAN-Zusendung aufs Handy: Die
Fälle von Kontenplünderungen nehmen zu. Die Täter installieren
Schadsoftware und spähen SMS aus.
(DIR) Hacker Appelbaum über Überwachung: „Ihr seid Experten des Schreckens“
Der Internetaktivist Jacob Appelbaum zieht Vergleiche zwischen der NSA und
der Stasi, lobt das deutsche Verständnis von Datenschutz und fordert mehr
Widerstand.
(DIR) Überwachung im Netz: Die Furcht vor Kontrollverlust
Kaum passiert etwas Negatives wie der „Prism“-Skandal in den USA, und schon
wird das Internet an sich verunglimpft. Das ist ziemlich kurzsichtig.