So sicher sind Schweizer Banken-Webauftritte

Vertrauen und Sicherheit sind das höchste Gut der Banken. Doch wenn man die Webauftritte der zehn grössten Schweizer Finanzinstitute (nach Bilanzsumme 2012) einem einfachen Security-Test unterzieht, entpuppen sich die Seiten nicht als Musterschüler. Bei dem Test der Sicherheitsspezialistin Qualys SSL Labs wird untersucht, welche Protokolle und Verfahren bei einer Verbindung per HTTPS (Hypertext Transfer Protocol Secure) verwendet werden. Den Test offeriert das Unternehmen gratis im Internet. Dabei kann man die URL der Webseite eingeben, die man untersuchen möchte und erhält eine Analyse sowie eine Zusammenfassung. In letzterer werden nach dem US-Notensystem Zensuren vergeben, von A+ (Bestnote) bis F (schlechteste Note). Das Ergebnis der Schweizer Bankauftritte ist zwar nicht dramatisch negativ, die Bestnote (A+) erhält aber keine der Seiten. Die Mängel sind vielfältig. So erlauben zwei Webseiten, Credit-Suisse und Migrosbank, die Verbindung mit dem als theoretisch hackbar geltenden Verschlüsselungsalgorithmus RC4, wobei der CS-Auftritt auf RC4 besteht. Häufig wird auch nicht die neuste Version (1.2) des Protokolls TLS (Transport Layer Security) verwendet. Je nach verwendetem Verschlüsselungsalgorithmus ist auch dies Security-technisch nicht über jeden Zweifel erhaben. Darüber hinaus hat keiner der Banking-Auftritte sogenannte «Forward Secrecy» (Folgenlosigkeit) implementiert. Damit könnte Kommunikation, die heute aufgezeichnet wird, grundsätzlich zu einem späteren Zeitpunkt entschlüsselt werden, wenn der Code dann komprommittiert ist. Wir haben die Ergebnisse von Qualys in folgender Bildergalerie zusammengefasst.