Zum Inhalt springen
Inhalt

Schweiz «E-Banking ist wegen des aufgedeckten Fehlers nicht unsicher»

Die Nachricht einer Schwachstelle in einer Software zur Verschlüsslung von Daten sorgt für Unsicherheit unter den Internetnutzern. Doch SRF-Digitalredaktor Guido Berger relativiert die Gefahr.

Die entdeckte Schwachstelle in der Software OpenSSL ermöglicht es einem Angreifer, den Speicher des betroffenen Servers auszulesen, ohne dabei Spuren zu hinterlassen. Das macht es – zumindest theoretisch – möglich, geheime Schlüssel und Passwörter zu lesen.

Sicher dank mehrerer Komponenten

Die Profis seien nun mit Hochdruck dran, den Fehler zu beheben, sagt SRF-Digitalredaktor Guido Berger. «Es ist nicht ein Fehler, den man auf die leichte Schulter nimmt.»

Doch wegen der aufgedeckten Schwachstelle zu sagen, dass beispielsweise E-Banking jetzt unsicher sei, hält Berger für falsch. «Denn E-Banking ist nie nur durch eine einzige Komponente – in diesem Fall OpenSLL – abgesichert.» Vielmehr handle es sich um ein System aus mehreren Komponenten, die alle zur Sicherheit beitragen.

Banken geben ebenfalls Entwarnung

Ähnlich tönt es bei den Banken: Die Postfinance, die Kreditkartenherausgeberin Viseca, der Börsenbetreiber und Zahlungsabwickler SIX Group und die meisten Banken sind alle potenziell betroffen. Sie haben bereits auf die Warnung der Bundesstelle reagiert. Doch keines der Unternehmen hat bislang Hinweise darauf, dass die Sicherheitslücke tatsächlich für Betrügereien ausgenutzt wurde.

Man nehme die Warnungen aber sehr ernst und habe bereits die empfohlenen Sicherheitsmassnahmen ergriffen, sagen Viseca und Postfinance. Ähnlich tönt es bei der SIX Group. Und die Grossbank UBS beteuert, ihr E-Banking sei gar nicht betroffen.

Software seit zwei Jahren mit Fehler

Andreas Münger von United Security Providers sieht das anders: Ganz so einfach sei das nicht, sagt er. Missbräuche könne man nur schwer feststellen. «Denn wenn eine solche Attacke durchgeführt wird, dann sind keine Spuren ersichtlich.»

Ob jemand vor der Verkündigung des Fehlers in OpenSLL schon Kenntnis davon hatte, ist bisher nicht bekannt. Eingeschlichen hat sich der Fehler aber schon vor rund zwei Jahren. Entdeckt haben ihn eine Sicherheitsfirma namens Codenomicon und Google Security.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

6 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Gandalf Grau, Effretikon
    Das Problem ist, wenn ich den Bankserver angreiffe, und sein Geheimnis kennenlerne, kann ich nachher gegenüber allen behaupten, ich sei der Bankserver, und niemand ist deswegen schlauer. Ich kann also zum Beispiel so an Logindaten kommen. Das ist dann schon ein Problem für E-Banking.
    Ablehnen den Kommentar ablehnen
  • Kommentar von B. Küng, Biel
    Wer E-Banking nutzt ist selber schuld! Das kommt für mich unter keinen Umständen in Frage, für mich gibt es nur der normale Zahlungsauftrag (Couvert in der Post einwerfen oder abgeben) oder die Einzahlung am Postschalter.
    Ablehnen den Kommentar ablehnen
  • Kommentar von peter müller, zürich
    Selbstverständlich bleibt E-Banking sicher. SRF begreift das Problem nicht mal. OpenSSL ist eine absolute Billigklitsche ohne Eigenkapital und Substanz. Primär eingesetzt vor allem auf Apache Server. (Ebenfalls ein Gratisprodukt ohne Wartung) Banken mit Verstand setzen Virtuoso Server ein (kostenpflichtig) versteht sich. Das Protokoll OpenSSL ist seit 2006 mit Fehlern durchsetzt. Dies ist seit langem bekannt - wer also schlau ist setzt keine Webpage für E-banking ein sondern Apps.
    Ablehnen den Kommentar ablehnen
    1. Antwort von Nina Meier, Effretikon
      Also erstmal ist der Seitenhieb gegen die freie Software lächerlich - so gut wie alle Server laufen unter freier Software (unter anderem die Börsen). Dann sind Apps konzeptionell nicht einfach "sicher" weil sie keine Website sind. Sehr oft sind Apps sogar einfach Websites. Und darunter liegt immer noch der altbekannte OCI-Stack, mit, sehr oft, SSL.
      Ablehnen den Kommentar ablehnen
    2. Antwort von Michel Koller, Emmenbrücke
      Das ist doch Blödsinn. Wenn ich an all die kritischen Lücken in sogenannter Enterprisesoftware denke, wo ne KMU jährlich an die 60'000 CHF an Lizenzgebühren aufbringen muss. Schon nur die Dokumentationen zum Abdichten von kritischen Lücken in Microsoftprodukten in den letzten Jahren füllen ganze Ordner. Da kann man schon mal Monate auf eine Lösung des Problems warten.
      Ablehnen den Kommentar ablehnen