Es ist der Super-GAU im Internet: Weltweit sind zwei Drittel aller Server von der Sicherheitslücke in der Verschlüsselungs-Software OpenSSL betroffen. Betroffen waren auch die E-Banking-Plattformen von Schweizer Banken, die eigentlich eine sichere Verbindung anbieten, weil sensible Daten verschlüsselt übermittelt werden.
Doch ein Test der Piratenpartei Aargau zeigt: Von 51 überprüften Banken haben 42 auch einen Tag nach Bekanntwerden des Mega-Lecks die Lücke immer noch nicht gestopft. Laut IT-Experten dauert das Einspielen des Updates eigentlich nur knapp eine Minute – bei Banken kann dies aber einiges länger dauern. Erstens, weil mehrere Server im Einsatz sind und in IT-Abteilungen der Banken oft das Vier- oder sogar Sechs-Augen-Prinzip besteht. Will ein Mitarbeiter ein Sicherheits-Update einspielen, sind oft mehrere Abteilungen eingebunden, die ihr OK geben müssen. Das kann dauern.
Die nachfolgende Liste zeigt, welche Schweizer E-Banking-Plattformen auch 24 Stunden nach Bekanntwerden der Sicherheitslücke immer noch völlig ungeschützt waren. Inzwischen haben praktisch alle Banken die entsprechenden Updates eingespielt und sind sicher.
Betroffen waren folgende Anbieter*
Credit Suisse, PicTect Vermögensverwaltung, BankCoop, Valiant, Neue Helvetische Bank, Alternative Bank Schweiz, Zuger Kantonalbank, Basler Kantonalbank, Neue Aargauer Bank, Aargauische Kantonalbank, BCGE, BSI Bank, Banque Cantonale de Fribourg, AEK Bank, Spar+Leihkasse Riggisberg, Clientis Biene Bank Rheintal, Bank bsu, Sparkasse Schwyz, Schaffhauser Kantonalbank, WIR Bank, BBO Bank Brienz Oberhasli, Bank Leerau, Lienhardt & Partner, Bank Eki, Bank Zimmerberg, Spar+Leihkasse Münsingen, Sparkasse Engelberg, Spar+Leihkasse Frutigen AG, VZ Depotbank, Leihkasse Stammheim, Ersparniskasse Affoltern im Emmental, CEDC Banque, Sparkasse Dielsdorf, SLB Bucheggberg AG, EEK Bank, biz (Bank in Zuzwil), Bank Thalwil, Regiobank Männedorf, Ersparniskasse Schaffhausen, Alpha Rheintal Bank, Urner Kantonalbank, Viseca.
Nicht betroffen waren:
Raiffeisen, Postfinance, J. Safra Sarasin, MigrosBank, Luzerner Kantonalbank, St. Galler Kantonalbank, Basellandschaftliche Kantonalbank, Thurgauer Kantonalbank, Graubünder Kantonalbank.
Die UBS ist ebenfalls nicht betroffen, da die Grossbank laut der «NZZ» die enstprechende Software gar nicht einsetzt. Gleiches sagt die Zürcher Kantonalbank gegenüber «finnews.ch».
Grundsätzlich raten Experten, alle verwendeten Passwörter umgehend zu ändern und für sämtliche Internet-Dienste jeweils ein anderes Passwort zu setzen. Zwar setzen die meisten Banken nebst einem Passwort ein zweistufiges Login-Verfahren (extern Lesegeräte oder Code-Listen) – trotzdem könnten Hacker dank der Sicherheitslücke sensible Daten wie Kontostände oder Informationen zu Kreditkarten abfragen. Ob eine Website sicher ist, können Sie unter http://filippo.io/Heartbleed/ überprüfen. (rgj)
Lesen Sie auch: So schützen Sie Konten, E-Mails und Passwörter.