darüber berichtet der Artikel von Jürgen Schmidt in der aktuellen c’t 18/2013.
In dem Artikel beschreibt er kurz und knapp wie eine SSL verschlüsselte Verbindung zwischen dem Browser mit einem Server im Internet aufgebaut wird. In den meisten Fällen wird dabei ein Verfahren angewendet, bei dem ein Teil der Schlüssel einmal übermittelt werden muss. Damit ist dieser Verbindungsaufbau prinzipiell angreifbar und, in meinen Augen noch wichtiger, der verschlüsselte Verkehr kann nachträglich entschlüsselt werden.
Für eine bessere Lösung muss einzig und allein der Administrator des Webservers tätig werden. Durch die Aktivierung von Perfect Forward Secrecy erfolgt der SSL der Verbindungsaufbau nach einem sicheren Verfahren, wo kein Schlüssel übermittelt werden muss. Ein potentieller Angreifer hat damit weniger Chancen die ausgehandelte Verschlüsselung zu knacken und
„Forward Secrecy verhindert, dass etwa bei der Beschlagnahmung eines Servers dessen gesamter in der Vergangenheit aufgezeichneter, verschlüsselter Verkehr nachträglich entschlüsselt werden kann. Es schützt somit gegen das Angriffsszenario „gestern vorsorglich aufgezeichnet, morgen entschlüsseln“
Wie der Autor feststellt, verzichten aber heute die meisten Mail-Anbieter auf diese Funktionalität, was sein Kurztest im obigen Artikel zeigt. Die Ausnahme ist hier nur – Google Mail.
Durch den Artikel aufmerksam geworden, habe ich mir mal die Webseiten meiner Banken mit deren Online-Funktionen angesehen. Das Ergebnis war traurig, keine hat diese Funktionalität aktiviert! Also habe ich flugs mal alle per Mail angeschrieben und nachgefragt, warum das so ist. Das war am Sonntag, 11. August, Abends.
Zu meiner großen Überraschung erhielt ich bereits am Montag, 12. August, eine Mail von der DKB. Konkret ging man auf meine Anfrage ein und bat um ein Telefongespräch mit mir. Das fand dann am Dienstag statt und der Mitarbeiter aus der IT bestätigte mir, dass sie aktuell alle Sicherungsmaßnahmen neu prüfen. Aber es würde noch etwas dauern bis es zu konkreten Umsetzungen kommt. Sie werden sich dann wieder bei mir melden.
Fazit, eine schnelle und konkrete Rückmeldung der DKB. Aber vor einer Aktivierung von Forward Secrecy besteht intern noch Klärungsbedarf.
Am Dienstag kam dann auch eine Antwortmail von der Direkt Anlage Bank (DAB), danach plant man die Einführung von Perfect Forward Secrecy zum 31.08.2013. Meint aber auch
„Die mit Perfect Forward Secrecy verhinderbaren verschlüsselten Replay-Attacken dürften sich derzeit in der Praxis eher in Grenzen halten.“
Finde ich ja prima, dass die DAB so schnell reagiert. Aber den Sinn von Forward Secrecy haben sie dabei wohl nicht so ganz verstanden. Es geht ja nicht nur um den direkten Angriff auf eine verschlüsselte Verbindung. Vielmehr liegt der Schutz darin, dass die Entschlüsselung auch im Nachhinein nicht möglich ist. Also ein dauerhafter Schutz der Daten!
Die BMW Bank antwortete dann erst heute, 14. August, lapidar mit einer Bestätigungsmail und man hat meine Anfrage
„an die zuständige Fachabteilung weitergeleitet. Die Bearbeitung kann jedoch einige Zeit in Anspruch nehmen. Hierfür bitten wir um Ihr Verständnis.“
Enttäuschend, nach drei Tagen nur eine Eingangsbestätigung zu erhalten und die hat dann kein Bezug auf meine Anfrage. Bin gespannt wie lange die Fachabteilung für eine Antwort benötigt.
Ohne Rückmeldung bin ich noch von der IngDIBA, was ich als sehr schlechten Stil empfinde.
Sicherlich sind noch weitere Institute betroffen, ich habe ja nur eine kleine Stichprobe gemacht. Schaut doch einfach mal beim nächsten Besuch der jeweiligen Onlineseite Eurer Bank nach, wie dort der Verbindungsaufbau vorgenommen wurde und traut Euch nachzufragen. Auf das Feedback bin ich gespannt.
Die richtige Einrichtung von Forward Secrecy hat Jürgen Schmidt in den Artikeln „Forward Secrecy testen und einrichten“ und „Zukunftssicher verschlüsseln mit Perfect Forward Secrecy“ beschrieben. Damit sollte jeder Webadministrator eine guten Einstieg in das Thema haben.
Update: Passend zu den hier beschriebenen Fehlern berichtet Jan Nolte in Caschys Blog über die noch schwere wiegenden Mängel bei den Banken: Jedes zweite untersuchte Online-Banking-Portal mit unsicherer Verschlüsselung