Jetzt wurde eine schwere Lücke in der Internet-Verschlüsselung entdeckt: Der «Heartbleed»-Fehler trifft alle. Wie sehr sind Schweizer E-Banking-Kunden betroffen?
Vor wenigen Tagen entdeckten Sicherheitsexperten in der weit verbreiteten Software OpenSSL einen gravierenden Fehler. Dieser macht es einem Hacker theoretisch möglich, geheime Schlüssel und Passwörter zu lesen. Den Fehler, mit dem die Verschlüsselung unterlaufen werden kann, nennen die Entdecker «Heartbleed», weil er in einer neueren Funktion von OpenSSL namens «Heartbeat» enthalten ist.
OpenSSL ist vielen Internetnutzern wohl kaum bekannt, dennoch verwenden sie diese Software fast täglich: Beim Abrufen der E-Mail, beim Einkaufen in Online-Shops oder beim Onlinebanking.
UBS, ZKB und Postfinance wiegeln ab
Ob jemand vor der Verkündigung des Fehlers schon Kenntnis davon hatte und die Schwachstelle aktiv ausgenutzt hat, sei nicht bekannt, heisst es in einem Beitrag von «Schweizer Radio und Fernsehen SRF». Das ist das Beunruhigende: Die Opfer wissen nicht, ob sich jemand in den letzten zwei Jahren durch den Bug Zugang zu ihren Daten verschaffte.
Der andere Aspekt: OpenSSL wird auch von den Schweizer Banken eingesetzt. Die Banken geben aber jetzt Entwarnung. So sagte eine Sprecherin der Grossbank UBS, dass ihr E-Banking in der Schweiz nicht davon betroffen sei. Auch die Postfinance beruhigt: Weder E-Finance noch Postfinance.ch hätten den Fehler.
Und auch die Zürcher Kantonalbank sieht sich von der aktuellen OpenSSL-Sicherheitslücke nicht betroffen. «Für unsere Kunden (E-Banking und weitere Web-Services) besteht deshalb keine Gefahr», schreibt das Institut an finews.ch.
Die Credit Suisse und die Luzerner Kantonalbank hatte offenbar eine Sicherheitslücke im E-Banking entdeckt. Die Luzerner KB erklärte aber, dass diese inzwischen geschlossen sei und auch die Credit Suisse vermeldet gegenüber finews.ch die Behebung des Problems.
Nicht alle Versionen betroffen
Dass Banken wie die UBS, Postfinance oder die Zürcher Kantonalbank klare Entwarnung geben können, hängt damit zusammen, dass die Institute die Versionen, die den Fehler aufweisen, gar nicht nutzten. Sie setze je nach Bereich und Andwendungszweck unterschiedliche Verschlüsselungssoftware ein, wobei die betroffene OpenSSL-Version nicht eingesetzt werde, bestätigt das Zürcher Staatsinstitut.
Betroffen sind nur die neueren OpenSSL-Versionen ab 1.0.1 bis und mit 1.0.1f. Die neuste Version 1.0.1g behebe den Fehler, wie «Heartbleed» mitteilt.
Korrigierte Version liegt vor
OpenSSL prüft regelmässig, ob ein User noch online ist. Dazu sendet er ein Signal. Die Erkenntnis ist nun, dass Hacker in den heiklen Versionen dieses Signal-Funktion ausnutzen konnten, um an Schlüssel zur Dechiffrierung des Datenverkehrs und andere sensible Daten gelangen.
Eine korrigierte Version von OpenSSL ist gemäss «Heartbleed» bereits vorhanden. Server-Administratoren müssten nun sofort darauf aktualisieren oder zumindest die «Heartbeat»-Funktion ausschalten. Je nach Dienst und Wichtigkeit der zu schützenden Informationen seien zudem wohl weitere Massnahmen notwendig, beispielsweise das Ausstellen von neuen Server-Zertifikaten. Ebenfalls nicht auszuschliessen ist, dass einzelne Dienste ihre Nutzer auffordern müssen, Passwörter zu ändern.
Hier können Sie überprüfen, ob ihre Internetadresse vom Heartbleed-Fehler betroffen ist: Heartbleed Test
-
Ja, es gab keine andere, wirtschaftlich sinnvolle Alternative.26.59%
-
Nein, man hätte die Credit Suisse abwickeln sollen.18.51%
-
Nein, der Bund hätte die Credit Suisse übernehmen sollen.28.33%
-
Man hätte auch ausländische Banken als Käufer zulassen sollen.9.24%
-
Man hätte eine Lösung mit Schweizer Investoren suchen sollen.17.33%
