MDXDave.de

IT-Freelancer // Android + Coding

Laden...

Kreditinstitute und die SSL/TLS-Verschlüsselung

veröffentlicht vor 9 Jahren, am 29. Januar 2015  |  Bank    Kreditinstitut    POODLE    SSL    TLS    Verschlüsselung    Sicherheit      |  0 Kommentare

Meinen ersten Beitrag im neuen Jahr 2015 widme ich der Sicherheit von Online-Banking-Webseiten diverser Banken.

Wieso? Nun ja, aufgefallen ist mir das als ich mehr aus Spaß die Seite der Kreissparkasse Köln (ksk-koeln.de) durch den SSL-Test schob - mit einem eher ernüchterndem Ergebnis. Daraufhin hab ich dieser einige Hinweise mitgeteilt, wohlgemerkt Mitte Dezember 2014 - sprich vor über 6 Wochen. Die Bank hat ein neues SSL Zertifikat - seit dem 7. Januar, an der Sicherheit geändert hat sich jedoch nichts. Doch dazu gleich mehr.

Zunächst will ichg nochmal auf die anderen Banken zu sprechen kommen, getestet habe ich die Seiten der Kreissparkasse Köln (wie erwähnt), die von comdirect, die der Bensberger Bank, der netbank und der Barclay Card, sprich zusammen also 5 Kreditinstitute - wieso diese? Weil ich dort Kunde bin ;)

Testbedingungen

Alle Banken hab ich ganz einfach über den Qualys SSL Labs-Test getestet - jeder von euch kann diesen Test also nachvollziehen und seine eigene Bank/Kreditinstitut damit testen. Wie Aussagekräftig ist dieser Test? Nun ja, dass ist eine nicht ganz einfach zu beantwortende Frage, im Prinzip ging es mir vor Allem um die Einstufung des Ratings, welches eine Schulnote von 1-6 (A-F) vergibt.

Am schlechtesten Abgeschnitten hat Barclay Card mit einer 3 (oder C), als zweit schlechtestes die Kreissparkasse Köln mit einer 2. Am besten war die netbank und comdirect was die Verschlüsselung angeht.

Hinweise

Es gibt aktuell 5 nutzbare Sicherheitsprotokolle, SSLv2, SSLv3, TLS1.0, TLS1.1 und TLS1.2, wovon das letztgenannte das aktuellste und sicherste ist. Das gilt natürlich nur in Verbindung mit sicheren Cipher-Suiten, sprich Verschlüsselungsalgorithmen. Außerdem sollte man Forward Secrecy, bzw. Perfect Forward Secrecy aktivieren, dadurch können die Daten auch später nicht gelesen werden, auch wenn die aktuell verwendete Verschlüsselungstechnik mal geknackt werden sollte. Hier wird das ganze etwas genauer erklärt.

HSTS, also HTTP Strict Transport Security ist eine zusätzliche Sicherheit. Damit speichert der Browser beim ersten Aufruf der Domain für eine gegebene Dauer die Information dass diese Domain über eine verschlüsselte Verbindung abgerufen werden kann und verbindet sich beim erneuter Aufruf automatisch mit der verschlüsselten Seite.

Downgrade Attack Preventon: T3N hat hier einen relativ gut verständlichen Artikel darüber, deswegen spare ich mit die Erklärung an dieser Stelle.

Kreissparkasse Köln

Beginnen wir mit der KSK, erreichbar unter www.ksk-koeln.de.

Wie bereits erwähnt war das die Bank, weswegen ich überhaupt anfing meine Kreditinstitute (also dort wo ich Kunde bin) zu vergleichen.

Der Test ergab folgendes Ergebnis:

Bemängelt wurde vom Test vor Allem die Protokollunterstützung, konkret dass hier nicht die neuste TLS 1.2 Verschlüsselung unterstützt wird - wieso? Ich weiß es nicht, eigentlich total unverständlich. Immerhin wurde SSL3 deaktiviert und die POODLE-Sicherheitslücke damit nicht ausnutzbar. Ebenfalls eher unverständlich ist die Nutzung älterer Verschlüsselungsalgorithmen, die kein Forward Secrecy unterstützen.

Die Nutzung eines schwachen SHA1-Zertifikats lass ich an dieser Stelle mal unkommentiert, da erst im 3 Quartal 2014 dieses für Veraltet erklärt wurde und erst seit Ende 2014 SHA256-Zertifikate ausgestellt werden. Andererseits ist es unverständlich wieso sich die KSK im Januar 2015 ein SHA-1 Zertifikat besorgt...?

Positiv anzumerken ist die Unterstützung von HSTS.

Links: Zum Test von mir | Zum Test auf ssllabs.com

Hinweis: Ich habe die KSK am 15. Dezember kontaktiert, am gleichen Tag wurde mir mitgeteilt meine Hinweise wären an die IT-Abteilung weitergeleitet worden. Bis heute (Stand: 29. Januar) hat sich an der Sicherheit nichts verbessert, lediglich ein neues (immer noch SHA-1-Zertifikat) ist nun vorhanden.

comdirect

Das Online-Banking von comdirect ist unter kunde.comdirect.de zu erreichen.

Der Test brachte eine glatte eins:

Eigentlich alles Super, Unterstützung für TLS 1.2, SSLv2 und v3 deaktiviert und auch Forward Secrecy und HSTS wird unterstützt.

Auch hier haben wir wieder ein veraltetes SHA1-Zertifikat, welcher noch bis um Mai gültig ist, von daher hier kein Punktabzug.

Ein bisschen Schade ist die Verwendung von unsicheren Verschlüsselungsalgorithmen bei einigen Browsern (die RC4-Verschlüsselung), das geht besser ;)

Eventuell problematisch könnte die CLient initiierte Renegotiation sein, welche einen DoS möglich macht, aber da das keine sicherheitsrelevante Schwachstelle ist, zählt das hier nicht in die Bewertung.

Seid ihr also comdirect-Kunde und benutzt nicht gerade Android unter 4.0 oder den Internet Explorer 8 unter Windows XP, habt ihr hier eine nahezu perfekt gesicherte Verbindung.

Links: Zum Test von mir | Zum Test auf ssllabs.com

Bensberger Bank

Das Online-Banking der Bensberger Bank ist zu finden unter www.bensbergerbank.de.

De Bewertung brachte eine eins minus zurück:

Auch hier war wieder SSLv2 und v3 deaktiviert und TLS 1.2 aktiviert. Leider war die Verwendung von Forward Secrecy mit allen Internet Explorer Versionen nicht möglich, Luft nach oben ist also. Andere Browser haben jedoch die FS Unterstützung. Leider ist aber HSTS nicht aktiviert. Auch die "Downgrade Attack Preventon" wird nicht unterstützt.

Auch hier gibt es die SHA-1-Zertifikat-Problematik, wieder ohne jeden Kommentar.

Alles in allem ist die Nutzung aktuell aber sehr sicher, solange ihr nicht den Internet Explorer nutzt ;)

Links: Zum Test von mir | Zum Test auf ssllabs.com

netbank

Die netbank ist keine Bank im klassischen Sinne, sondern lediglich eine Internetbank, ohne Filialen. Das Online-Banking ist unter banking.netbank.de erreichbar.

Das Ergebnis war auch hier eine glatte eins:

Direkt auffallend: Das erste Kreditinstitut mit SHA-256-Zertifikat im Test! Und auch sonst kaum negative Sachen. SSLv2 und v3 deaktiviert, TLS 1.2 aktiviert und mit fast allen möglichen Geräten Forward Secrecy (bis auf Android 2.3.7 und Java 6u45). Dazu die Downgrade Attack Prevention, aber leider kein HSTS. Das wäre das Sahnehäubchen (dann gäbe es übrigens eine 1+) ;)

Seid ihr Kunde bei der netbank? Dann braucht ihr absolut keine Gedanken um die Sicherheit zu haben. Zumindest bezogen auf das Onlinebanking.

Links: Zum Test von mir | Zum Test auf ssllabs.com

Barclay Card

Als letztes das unsicherste Kreditinstitut im Test mit einer 3, oder einem C.

Barclay Card, nicht zu verwechseln mit Barclays, ist vor Allem für seine VISA-Karten bekannt, der Test sieht so aus:

Am auffälligsten ist die Aktivierte SSLv3-Verschlüsselung und die Verwundbarkeit durch die POODLE-Sicherheitslücke. Dadurch ist ein Man-in-the-Middle Angriff möglich, glücklicherweise ist zumindest die Downgrade Attack Prevention "aktiviert", so ist die Ausnutzung der Sicherheitslücke schon deutlich schwieriger, da ein Browser nicht zur Verwendung von SSLv3 herabgestuft werden kann. Mit aktuellen Browser also keine Sicherheitslücke, dennoch peinlich für ein Kreditinstitut wo es um eventuell viel Geld gehen kann.

Weiterhin wird kein Forward Secrecy unterstützt und es wird ein SHA-1-Zertifikat verwendet.

Positiv ist die Verwendung von HSTS.

Solltet ihr hier Kunde sein, nutzt einen aktuellen Browser, dann seid ihr zumindest aktuell auf der sicheren Seite, wenn die Daten jedoch entwendet werden und die Verschlüsselungsmethode später geknackt wird, können eure Daten gelesen werden.

Links: Zum Test von mir | Zum Test auf ssllabs.com

Fazit

Glücklicherweise hat keines der 5 Kreditinstitute einen Totalausfall, Barclay Card sollte jedoch schnellstmöglich SSLv3 deaktivieren und die Kreissparkasse Köln schnellstmöglich TLS1.2 aktivieren. Außerdem können alle Kreditinstitute bis auf die netbank ihre Verschlüsselungsalgorithmen verbessern, dann gäbe es eine 1+ (die netbank wie bereits gesagt HSTS).

Möglich ist das übrigens ziemlich simpel: für die Seite www.nevoxo.com spuckt der Test eine 1+ aus:

SHA-256-Zertifikat, FS mit allen Browsern durch die Verwendung bestmöglicher Cipher-Suiten, HSTS aktivieren und SSLv2 und SSLv3 deaktivieren.

Links: Zum Test von mir | Zum Test auf ssllabs.com

Die verwendeten Verschlüsselungsalgorithmen (mit Apache 2.4.10) sind dort übrigens wie folgt:

SSLCipherSuite "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

Lang, aber effektiv ;)