Angriff auf das Herz der Bankkunden

Jetzt wurde eine schwere Lücke in der Internet-Verschlüsselung entdeckt: Der «Heartbleed»-Fehler trifft alle. Wie sehr sind Schweizer E-Banking-Kunden betroffen?

Vor wenigen Tagen entdeckten Sicherheitsexperten in der weit verbreiteten Software OpenSSL einen gravierenden Fehler. Dieser macht es einem Hacker theoretisch möglich, geheime Schlüssel und Passwörter zu lesen. Den Fehler, mit dem die Verschlüsselung unterlaufen werden kann, nennen die Entdecker «Heartbleed», weil er in einer neueren Funktion von OpenSSL namens «Heartbeat» enthalten ist.

OpenSSL ist vielen Internetnutzern wohl kaum bekannt, dennoch verwenden sie diese Software fast täglich: Beim Abrufen der E-Mail, beim Einkaufen in Online-Shops oder beim Onlinebanking.

UBS, ZKB und Postfinance wiegeln ab

Ob jemand vor der Verkündigung des Fehlers schon Kenntnis davon hatte und die Schwachstelle aktiv ausgenutzt hat, sei nicht bekannt, heisst es in einem Beitrag von «Schweizer Radio und Fernsehen SRF». Das ist das Beunruhigende: Die Opfer wissen nicht, ob sich jemand in den letzten zwei Jahren durch den Bug Zugang zu ihren Daten verschaffte.

Der andere Aspekt: OpenSSL wird auch von den Schweizer Banken eingesetzt. Die Banken geben aber jetzt Entwarnung. So sagte eine Sprecherin der Grossbank UBS, dass ihr E-Banking in der Schweiz nicht davon betroffen sei. Auch die Postfinance beruhigt: Weder E-Finance noch Postfinance.ch hätten den Fehler.

Und auch die Zürcher Kantonalbank sieht sich von der aktuellen OpenSSL-Sicherheitslücke nicht betroffen. «Für unsere Kunden (E-Banking und weitere Web-Services) besteht deshalb keine Gefahr», schreibt das Institut an finews.ch.

Die Credit Suisse und die Luzerner Kantonalbank hatte offenbar eine Sicherheitslücke im E-Banking entdeckt. Die Luzerner KB erklärte aber, dass diese inzwischen geschlossen sei und auch die Credit Suisse vermeldet gegenüber finews.ch die Behebung des Problems.

Nicht alle Versionen betroffen

Dass Banken wie die UBS, Postfinance oder die Zürcher Kantonalbank klare Entwarnung geben können, hängt damit zusammen, dass die Institute die Versionen, die den Fehler aufweisen, gar nicht nutzten. Sie setze je nach Bereich und Andwendungszweck unterschiedliche Verschlüsselungssoftware ein, wobei die betroffene OpenSSL-Version nicht eingesetzt werde, bestätigt das Zürcher Staatsinstitut.

Betroffen sind nur die neueren OpenSSL-Versionen ab 1.0.1 bis und mit 1.0.1f. Die neuste Version 1.0.1g behebe den Fehler, wie «Heartbleed» mitteilt.

Korrigierte Version liegt vor

OpenSSL prüft regelmässig, ob ein User noch online ist. Dazu sendet er ein Signal. Die Erkenntnis ist nun, dass Hacker in den heiklen Versionen dieses Signal-Funktion ausnutzen konnten, um an Schlüssel zur Dechiffrierung des Datenverkehrs und andere sensible Daten gelangen. 

Eine korrigierte Version von OpenSSL ist gemäss «Heartbleed» bereits vorhanden. Server-Administratoren müssten nun sofort darauf aktualisieren oder zumindest die «Heartbeat»-Funktion ausschalten. Je nach Dienst und Wichtigkeit der zu schützenden Informationen seien zudem wohl weitere Massnahmen notwendig, beispielsweise das Ausstellen von neuen Server-Zertifikaten. Ebenfalls nicht auszuschliessen ist, dass einzelne Dienste ihre Nutzer auffordern müssen, Passwörter zu ändern.

Hier können Sie überprüfen, ob ihre Internetadresse vom Heartbleed-Fehler betroffen ist: Heartbleed Test

 

Dieser Beitrag kann nicht mehr kommentiert werden.

DOSSIER BANKEN

Dossier Banken

Dossier UBS Dossier Credit Suisse Dossier Bank Vontobel Dossier Julius Bär Dossier Zürcher Kantonalbank

Die wichtigsten Schweizer Banken auf einen Blick:

 

DAS BESTE IM WEB

Gute Stories und Links aus aller Welt

  • Wie Goldman Sachs 1,2 Milliarden Dollar aus Libyen versenkte
  • Blackrock-Mitgründerin: «Asset Manager sind keine Banken»
  • Nullzins-Politik: Und sie funktioniert doch – sagt Mario Draghi
  • Europas Zukunft steht auf dem Spiel
  • Bankchef muss auf 41 Millionen Dollar verzichten
  • Wohnen wie Leonardo DiCaprio
mehr

Follow us

Follow finews.ch on Twitter Follow finews.ch on Facebook Follow finews.ch on Google+ Follow finews.ch on LinkedIn Follow finews.ch on Xing Follow finews.ch on Youtube Follow finews.ch on Instagram

Zürcher Bankenverband

Führende Vertreter der Schweizer Finanzbranche zum Thema Regulierung.

Beiträge lesen

Lohnvergleich

Lohnvergleich

Verdienen Sie genug? Vergleichen Sie doch mal Ihren Lohn.

zum Lohnvergleich

Newsletter

Newsletter-SymbolKostenlos abonnieren

Abonnieren Sie jetzt den finews.ch-Newsletter und Sie erhalten kostenlos 2x wöchentlich die wichtigsten News aus der Schweizer Finanzwelt per E-Mail.

SELECTION

Selection

So sieht der Banker der Zukunft aus

Mit aller Macht versuchen die Banken, ihr Geschäft ins Zeitalter der Digitalisierung zu retten.

Selection

NEWS GANZ KURZ

Gottex

Der Hedgefonds-Anbieter Gottex hat die Publikation seiner Halbjahreszahlen verschoben. Offenbar verzögern sich die Verhandlungen um eine zweite Finanzierungsrunde.

UBS

Die Grossbank UBS hat mit einer Zahlung von 15 Millionen Dollar an die US-Börsenaufsicht SEC ein Verfahren um den Verkauf komplizierter Derivate an Privatkunden beigelegt.

Avaloq

Der Bankensoftware-Entwickler Avaloq und die Deutsche Apotheker- und Ärztebank (Apobank) haben einen Vertrag zur Evaluierung einer zukünftigen Zusammenarbeit unterzeichnet. Bis zum Ende des ersten Quartals 2017 soll analysiert und erarbeitet werden, inwiefern die Umsetzung der Apobank-IT-Strategie mit der Avaloq Banking Suite möglich ist.

Deutsche Bank

Die Deutsche Bank will den britischen Versicherer Abbey Life an die Phoenix Life, eine Gesellschaft der Phoenix Group, verkaufen. Die nun geschlossene Vereinbarung sieht vor, dass Phoenix Life 100 Prozent von Abbey Life zum Preis von 935 Millionen Pfund erwirbt. Abbey Life ist derzeit Teil der Deutschen Asset Management.

Schwyzer Kantonalbank

Die Schwyzer Kantonalbank will mit neuen Fonds-Produkten finanzielle und ethische Ansprüche vereinen. Bis Ende 2016 erhebt die Bank auf die sogenannten Ethikfonds keinen Ausgabeaufschlag.

weitere News