OpenSSL Sicherheitslücke & Heartbleed – 100 Banken im Test

HeartbleedAm 08.04.2014 wurde eine Sicherheitslücke in der OpenSSL Software, die weltweilt zur sicheren Datenübertragung eingesetzt wird, bekannt. Bei der schon vor rund 24 Monaten entdeckten und Heartbleed genannten Schwachstelle wurde nun von Google Programmierern eine weiter schwerwiegende Heartbleed Sicherheitslücke entdeckt.  Wir haben 100 Banken auf das letzte SSL-Server-Zertifikat Update untersucht und die Banken Liste online gestellt.

Von der schwerwiegenden Heartbleed-Panne ist auch das Online-Banking betroffen. Unbefugte können über die OpenSSL Sicherheitslücke an hochsensible Daten wie E-Mail Adressen, Passwörter und auch Verschlüsselungen für sichere Verbindungen gelangen. Dabei ist es egal ob der Bankkunde sein Girokonto, Tagesgeld- oder Festgeldkonto per PC verwaltet, der Zugang erfolgt immer über einen SSL-verschlüsselten Zugang.

 

Keine Kunden-Informationen zu den Auswirkungen von Heartbleed von den Banken

Die deutsche Kreditwirtschaft hat bisher kaum Stellung zu dem Problem genommen. So gibt es bisher keine Liste der Banken, die von Heartbleed bzw. dem SSL-Fehler betroffen sein könnten. Während das Bundesamt für Sicherheit in der Informationstechnik vor Heartbleed warnt, ist auf den Webseiten der Banken oder des Bankenverbandes ist zu dem Thema bisher nichts publiziert worden. Auch die BaFin hüllt sich bisher in Schweigen. Die Redaktion von tagesgeldvergleich.com unterhält bei verschiedenen Banken Tagesgeld-Testkonten. Bisher wurde von keiner Bank eine Information zu Heartbleed abgegeben. Die Banken informieren ihre Kunden zunächst nicht über die Sicherheitspanne – im Guten wie im Bösen.

Die aktuelle Heartbleed Sicherheitslücke kann durch ein Update der neusten SSL Sicherheitssoftware geschlossen werden. Allerdings können sensible Daten von Webseiten mit SSL Sicherheitslücke vor dem Update-Zeitpunkt kopiert worden sein. Im welchem Umfang und von wem dürfte kaum noch festzustellen sein.

 

Welche Hinweise gibt es, dass eine Bank potenziell von Heartbleed betroffen war

SSL-ZertifikatDie Redaktion hat das Ausstellungsdatum SSL-Server-Zertifikat von 100 Banken mit deutscher Banklizenz analysiert. Die SSL-Sicherheitslücke wurde am 08.04.2014 publiziert. Banken, die um dieses Datum herum ihr SSL-Server-Zertifikat upgedatet haben, könnten potenziell von Heartbleed betroffen gewesen sein (natürlich ist aber auch ein zufälliges Erneuern des SSL-Zertifikates nicht auszuschließen, aber eben wenig wahrscheinlich).

In der folgenden Tabelle ist das Ausstellungsdatum für das SSL-Server-Zertifikat einer Bank angegeben. Gelb unterlegt sind Banken, die ein Update des Zertifikats unmittelbar nach Bekanntwerden von Haerdbleed durchgeführt haben. Datum der Datenerhebung ist der 13. April 2014.

 

 

Tabelle 1: Analyse von 100 Banken auf Datum des letzten SSL-Server-Zertifikat Updates

 

SSL-Server-Zertifikat Bankenliste -1

SSL-Server-Zertifikat Bankenliste -2

SSL-Server-Zertifikat Bankenliste -3

 

Bei 12% der analysierten Banken könnte das SSL-Zertifikat Update in direktem Zusammenhang mit Heartbleed stehen. Diese Banken haben zwischen dem 08.04 – und 11.04.2014 das SSL-Zertifikat upgedatet:

1822direkt
Commerzbank
Bank J. Safra Sarasin (Deutschland) AG
Bank Julius Bär Europe AG
Deutsche Bank
Deutsche Pfandbriefbank AG  pbb direkt
DKB
Fidorbank
HSBC Trinkaus & Burkhardt
HypoVereinsbank
Mainzer Volksbank
Nassauische Sparkasse (Naspa)

 

Inzwischen ist davon auszugehen, dass alle Banken potenziell bestandene SSL Sicherheitslücken behoben haben. Kontoinhabern von einer der möglicherweise betroffenen Banken sollten umgehend ihre Passwörter ändern und weitere Informationen von ihrer Bank einholen.

 

Verteilung der analysierten SSL-Zertifikate (n=100  Banken) nach Zertifikat Aussteller

In der Tabelle 1 ist die Veteilung der  SSL-Zertifikate nach Aussteller angegeben. Der überwiegende Teil der Banken (56%) verwendete eine Zertifizierung von VeriSign. Es folgen die Zertifizierungen von COMODO CA Limited (10%), GlobalSign nv-sa mit 9 % und Thawte, Inc. mit 8% Anteil.

 

Tab 1. : Anteil der SSL-Zertifikate nach Aussteller von 100 Banken

SSL-Zertifikat Aussteller Anteil [%]
VeriSign, Inc    56
COMODO CA Limited    10
GlobalSign nv-sa     9
Thawte, Inc.     8
GeoTrust, Inc.     5
T-Systems International GmbH     5
GAD EG     4
Andere     3

 

Anfragen bei Banken und Erfahrungen zu Heartbleed / OpenSSL Sicherheitslücke

Die Redaktion versucht über telefonische Anfragen und über Anfragen via E-mail von den Banken Informationen zu bekommen, inwieweit das Institut von der OpenSSL Sicherheitslücke betroffen ist. Gefragt wurde jeweils, ob das Kreditinstitut von Heartbleed betroffen ist und wenn ja, in welchem Ausmaß.

 

comdirect
13.04.2014 comdirect first Hotline: „Die comdirect ist von Heartbleed nicht betroffen“. Nach der Ausstellung des SSL-Zertifikates vom 19.03.2013 sollte die Angabe zutreffen

 

Commerzbank
13.04.2014 Commerzbank Hotline: „Es sind alle Sicherheitsvorkehrungen getroffen“.
14.04.2014 Commerzbank technische Hotline: „wird behoben, es ist alles schon behoben…“

14.04.2014 Schriftliche Anfrage der Redaktion im geschützen Bereich der Commerzbank in wie weit die Commerzbank von Heartbleed betroffen ist.

27.04.2014 Antwort der Commerzbank:

„vielen Dank für Ihre Anfrage vom 14. April 2014, 10:58 Uhr.

Wegen des aktuell sehr stark angestiegenen Anfrageaufkommens erhalten Sie leider erst jetzt eine Antwort von uns. Diesen Umstand bedauern wir sehr und bitten ihn zu entschuldigen.
Nach Bekanntwerden dieser Sicherheitslücke haben wir in einigen wenigen Systemen diese Schwachstelle identifiziert und sie sofort beseitigt.
Derzeit haben wir keine Anhaltspunkte dafür, dass über diese Schwachstelle Unbefugte an sensible Daten gelangt sind.
Sie müssen dabei auch immer bedenken, dass die besagte Verschlüsselungsfunktionalität „OpenSSL“ nur eines von mehreren Sicherheitssystemen zum Schutz von sensiblen Daten in unserem Online-Banking ist.“

Mit freundlichen Grüßen

Commerzbank AG
Online Banking Team

 

News zu Heartbleed

16.01.2013 Nach unseren Recherchen haben die Banken inzwischen alle die Sicherheitslücken geschlossen. Leider aber nicht alle Webseiten, die mit der OpenSSL Bibliothek arbeiten. Wie das Bundesamt für Sicherheit in der Informationstechnik in einer aktuellen BSI Pressemitteilung klarstellt ist der Heartbleed-Bug bei etlichen Webseiten immer noch nicht beseitigt. Das BSI stellt immer noch eine hochvolumige Datenspeicherung von betroffener Server fest.

 

Autor Ulrich Fielitz

 

 

Literatur zu Heartbleed

CNN – Wie Heartbleed die eigene online Sicherheit schwächt

 

 

Ähnliche Seiten

Tagesgeld Sicherheit