Diese Bankkunden müssen ihr Passwort ändern
Die Sicherheitslücke Heartbleed sorgt bei vielen Internetdiensten für Aufruhr. Betroffen sind fast alle – selbst Banken.
aktualisiert am 17. April 2014 - 10:11 Uhr
Die Verschlüsselungsmethode SSL hat Sicherheitslücken, die rasch geschlossen werden müssen
Seit einigen Tagen ist bekannt, dass in der weitverbreiteten Verschlüsselungsmethode SSL während zwei Jahren eine grosse Sicherheitslücke bestand, die es Angreifern ermöglichte, auf Nutzernamen und Passwörter zuzugreifen.
Ob die Schwachstelle namens Heartbleed ausgenutzt wurde, ist bis jetzt unklar. Zahlreiche betroffene Internet-Dienste haben die Lücke inzwischen geschlossen. Betroffen war unter anderem auch das E-Banking von Raiffeisen, Valiant, Credit Suisse und Postfinance.
Die Hypothekarbank Lenzburg hat am Donnerstag auf Ihrer Website eine Meldung veröffentlicht, wonach «präventive Wartungsarbeiten» am E-Banking ausgeführt wurden, damit wieder «höchstmögliche Sicherheit» gewährleistet sei.
Ein Test über die Internetseite filippo.io ergab am Donnerstag Abend, dass der Server der Hypothekarbank Lenzburg auch nach dem Update noch Informationen preisgab, die er nicht hätte senden dürfen. Erst einige Stunden nach dem Hinweis durch den Beobachter erkannte auch dieser Test – es gibt mittlerweile unzählige – keine Lücke mehr.
Die Hypothekarbank kann sich diesen Vorfall nicht erklären: «Wir haben seit dem Abend des 9. April keine Änderungen mehr am System vorgenommen», sagt ein Sprecher. Er geht deshalb davon aus, dass der Test ein falsches Resultat angezeigt hat, was durchaus im Bereich des möglichen liegt. Denn diese Tests entstanden zum Grossteil aus privater Initiative, wodurch unklar bleibt, wie gut diese funktionieren. Zwei weitere Tests haben bereits am Mittwoch die Seite für sicher erklärt.
Kunden die für das E-Banking Streichlisten verwenden, rät die Bank wie andere Institute auch, das Passwort zu ändern. Andere Kunden müssten nichts unternehmen.
Die Raiffeisen war ebenfalls unter den Betroffenen und hat die Sicherheitslücke laut eigenen Angaben wie die meisten noch am Tag des Bekanntwerdens geschlossen. Am Donnerstag war das E-Banking allerdings für zwei Stunden nicht erreichbar: «Mit Heartbleed hat das Problem nichts zu tun», sagt Sprecherin Sonja Stieglbauer. Es habe sich um einen Systemfehler gehandelt.
Der Fehler «Heartbleed» setzt voraus, dass betroffene ihr System mit einem Update auf den aktuellsten Stand bringen. Das wurde überwiegend schnell gemacht. Im Anschluss müssen allerdings aus Sicherheitsgründen auch noch sämtliche Verschlüsselungszertifikate ausgetauscht werden. «Ein Zertifikat ist vergleichbar mit einem Schlüssel: Erst, wenn das Schloss ausgewechselt ist, ist sicher, dass der Schlüssel nicht mehr verwendet werden kann», erklärt Ursula Diebold, Sprecherin der Aargauer Kantonalbank. Und das kann dauern: Bei der AKB können die Zertifikate erst heute Freitag gewechselt werden. Das liegt daran, dass diese von aktuell hoffnungslos überlasteten Drittanbietern ausgestellt werden. Das Passwort sollte erst geändert werden, wenn das neue Zertifikat ausgestellt ist. Banken, die das noch nicht erledigt haben, dürften Ihre Kunden informieren, sobald es soweit ist.
| Banken | Ist der Dienst betroffen? | Wurde die Lücke behoben? | Muss ich mein Passwort Ändern? | Was sagt das Unternehmen? |
| Aargauer Kantonalbank | Ja | Ja | Ja | Unsere Server waren ebenfalls von der Lücke betroffen. Sie konnte am 9. April geschlossen werden. Wir empfehlen unseren Kundinnen und Kunden, ihr Passwort zu wechseln. Wichtig ist, das Passwort erst dann zu wechseln, wenn das Verschlüsselungszertifikat gewechselt wurde. (Vergleichbar mit einem Schlüssel, den Sie verlieren. Erst wenn Sie das Schloss gewechselt haben, sind sie sicher, dass der Schlüssel nicht mehr verwendet werden kann). Wir erhalten das Zertfifikat am 11. April und informieren unsere Kunden entsprechend. |
| Appenzeller Kantonalbank | Ja | Ja | Ja | Die Lücke konnte am 9. April geschlossen werden. Wir empfehlen einen regelmässigen Passwortwechsel. |
| Banca dello Stato del Cantone Ticino | Antwort ausstehend | |||
| Banque Cantonale de Fribourg | Antwort ausstehend | |||
| Banque Cantonale de Genève | Antwort ausstehend | |||
| Banque Cantonale du Jura | Antwort ausstehend | |||
| Banque Cantonale du Valais | ? | ? | ? | Soweit bekannt, wurden von unseren Dienstleistern umgehend passende Massnahmen ergriffen. |
| Banque Cantonale Neuchâteloise | Antwort ausstehend | |||
| Banque Cantonale Vaudoise | Nein | - | Nein | Die BCV ist nicht von der Sicherheitslücke betroffen. |
| Basellandschaftliche Kantonalbank | Ja | Ja | Nein | Die Lücke wurde bei uns am 9. April geschlossen. Da das Passwort nicht das einzige nötige Sicherheitsmerkmal für ein Login ist, müssen unsere Kunden keine änderungen vornehmen. |
| Basler Kantonalbank | Ja | Ja | Ja | Die Sicherheitslücke ist seit dem 9. April geschlossen. Das E-Banking verfügt über ein zweistufiges Login-Verfahren. Das heisst, dass nebst Benutzer-ID und Passwort z.B. noch ein SMS Code eingetippt werden muss. Wir empfehlen den Kunden regelmÄssig das Passwort zu wechseln. |
| Berner Kantonalbank | Nein | - | Nein | Die BEKB empfiehlt die üblichen Sicherheitsmassnahmen: Aktuelle Virensoftware, das Betriebssystem aktuell halten, sichere Passwörter verwenden, ungewöhnliche E-Mails nicht beachten, Verlauf und Cache des Browsers regelmässig löschen, das Login fürs E-Banking niemals elektronisch speichern und niemandem Preis geben. Die Bank fragt niemals nach diesen Merkmalen. |
| Clientis | Ja | Ja | Ja | Die Internetseiten der Clientis Banken sind nicht betroffen. Die e-Banking-Seiten waren betroffen; die Schwachstelle wurde am 09. April behoben, und den Unsern wird empfohlen, das Passwort zu wechseln. |
| Credit Suisse | Ja | Ja | Nein | OpenSSL ist eines von mehreren Sicherheitselementen, das Problem wurde bereits am 9. April gelöst. Die Credit Suisse informierte auf ihrer Website. Für die Kunden hat keine Gefährdung bestanden. Wir raten unseren Kunden, das Passwort regelmässig neu zu setzen. |
| Freie Gemeinschaftsbank | Antwort ausstehend | |||
| Glarner Kantonalbank | Ja | Ja | Nein | Wir haben die Lücke am 9. April geschlossen und konnten am 10. April neue Sicherheitszertifikate installieren. Eine änderung des Passwortes ist nicht nötig, wir raten allerdings allgemein dazu, sämtliche Passwörter alle 60 bis 90 Tage zu wechseln. |
| Graubündner Kantonalbank | Ja | Ja | Ja | Nachdem die Sicherheitslücke bekannt wurde, haben wir unsere Server aktualisiert und alle nötigen Zertifikate ersetzt. Von daher können wir für die GKB-Dienste Entwarnung geben. Wir raten generell, das Passwort regelmässig zu Ändern (Weitere Infos auch auf www.ebankingabersicher.ch). |
| Hypo Lenzburg | Ja | Ja | Ja | Nach Bekanntgabe der OpenSSL-Schwachstelle haben wir unser E-Banking bis zur Lösung des Problems am 9. April ausser Betrieb genommen. Die Zugangssicherheit basiert auf mehreren Sicherheitsfaktoren und war jederzeit gewÄhrleistet. Den Kunden, die eine Streichliste benutzen, empfehlen wir, das Passwort zu wechseln. |
| LGT | Antwort ausstehend | |||
| Luzerner Kantonalbank | Ja | Ja | Ja | Wir haben die Sicherheitslücke geschlossen, das Zertifikat ausgetauscht und empfehlen unseren Kunden das E-Banking-Passwort zu ändern. Diese Information sind auch auf unserer Website) abrufbar. |
| Neue Aargauer Kantonalbank | Ja | Ja | Nein | OpenSSL ist eines von mehreren Sicherheitselementen, das Problem wurde bereits am 9. April gelöst. Die NAB, eine Tochtergesellschaft der Credit Suisse, informierte auf ihrer Website. Für die Kunden hat keine Gefährdung bestanden. Wir raten unseren Kunden, das Passwort regelmÄssig neu zu setzen. |
| Nidwaldner Kantonalbank | Antwort ausstehend | |||
| Obwaldner Kantonalbank | Ja | Ja | Ja | Wir haben die Sicherheitslücke geschlossen und das Zertifikat ausgetauscht. Das E-Banking kann wie gewohnt genutzt werden. Wir empfehlen den Nutzern ihr Passwort zu ändern und dies auch später in regelmässigen Abständen zu tun. |
| Post Finance | Ja | Ja | Nein | Die Sicherheit des digitalen Leistungsangebots ist gewÄhrleistet. PostFinance hat Massnahmen umgesetzt, um die Lücke zu schliessen. Es ist nicht nötig, dass Kunden ihre Passwörter Ändern. |
| Raiffeisen | Ja | Ja | Nein | Raiffeisen hat die Lücke am 8. April geschlossen. Durch das Betrugserkennungssystem war das E-Banking vor missbrÄuchlichen Zahlungen geschützt. Unsere Kunden müssen nichts unternehmen. |
| Schaffhauser Kantonalbank | Ja | Ja | Ja | Die Sicherheit war zu jeder Zeit gewährleistet. Unautorisierte Zahlungen werden von weiteren Sicherheitsmerkmalen verhindert. Zur Sicherheit empfehlen wir unseren Kunden, das Passwort beim nächsten Login zu wechseln. |
| St. Galler Kantonalbank | Ja | Ja | Nein | Wir haben keine Anhaltspunkte über unsere Betroffenheit. Aus Sicherheitsgründen haben wir reagiert und bereits am 8. April entsprechende Software-Updates installiert. Eine direkte Handlungsaufforderung an unsere Kunden im Zusammenhang mit der SSL-Sicherheitslücke gab es nicht. |
| Schwyzer Kantonalbank | Ja | Ja | Nein | Wir haben die Lücke am 8. April geschlossen und am darauffolgenden Tag neue Sicherheitszertifikate ausgestellt. Zusätzlich werden Versuche, den behobenen Bug auszunutzen, seit dem 10. April bereits von unserer Firewall abgeblockt. E-Banking-Nutzer verhalten sich richtig, wenn sie sich an die Weisungen von EBAS oder MELANI befolgen. |
| Thurgauer Kantonalbank | Ja | Ja | Nein | |
| UBS | Nein | - | Nein | Die Online Services von UBS sind nicht und waren nie betroffen. Es wurde in der Vergangenheit wie auch aktuell eine andere Version von OpenSSL verwendet, die diesen Fehler nicht aufweist. |
| Valiant | Ja | Ja | Ja | Wir informieren unsere Kunden auf der Website. Wir waren von der Lücke betroffen, haben sie aber am Mittwoch behoben. Wir raten unseren Kunden, ihr Passwort zu Ändern. |
| Zürcher Kantonalbank | Nein | - | Nein | Das E-Banking der Zürcher Kantonalbank ist nicht betroffen. Wir informieren unsere Kunden auf unserer Website über kritische Sachverhalte. |