Seit einigen Tagen ist bekannt, dass in der weitverbreiteten Verschlüsselungsmethode SSL während zwei Jahren eine grosse Sicherheitslücke bestand, die es Angreifern ermöglichte, auf Nutzernamen und Passwörter zuzugreifen.

Ob die Schwachstelle namens Heartbleed ausgenutzt wurde, ist bis jetzt unklar. Zahlreiche betroffene Internet-Dienste haben die Lücke inzwischen geschlossen. Betroffen war unter anderem auch das E-Banking von Raiffeisen, Valiant, Credit Suisse und Postfinance.

Die Hypothekarbank Lenzburg hat am Donnerstag auf Ihrer Website eine Meldung veröffentlicht, wonach «präventive Wartungsarbeiten» am E-Banking ausgeführt wurden, damit wieder «höchstmögliche Sicherheit» gewährleistet sei. 

Ein Test über die Internetseite filippo.io ergab am Donnerstag Abend, dass der Server der Hypothekarbank Lenzburg auch nach dem Update noch Informationen preisgab, die er nicht hätte senden dürfen. Erst einige Stunden nach dem Hinweis durch den Beobachter erkannte auch dieser Test – es gibt mittlerweile unzählige – keine Lücke mehr.

Die Hypothekarbank kann sich diesen Vorfall nicht erklären: «Wir haben seit dem Abend des 9. April keine Änderungen mehr am System vorgenommen», sagt ein Sprecher. Er geht deshalb davon aus, dass der Test ein falsches Resultat angezeigt hat, was durchaus im Bereich des möglichen liegt. Denn diese Tests entstanden zum Grossteil aus privater Initiative, wodurch unklar bleibt, wie gut diese funktionieren. Zwei weitere Tests haben bereits am Mittwoch die Seite für sicher erklärt.

Kunden die für das E-Banking Streichlisten verwenden, rät die Bank wie andere Institute auch, das Passwort zu ändern. Andere Kunden müssten nichts unternehmen.

Auch Raiffeisen mit Problemen

Die Raiffeisen war ebenfalls unter den Betroffenen und hat die Sicherheitslücke laut eigenen Angaben wie die meisten noch am Tag des Bekanntwerdens geschlossen. Am Donnerstag war das E-Banking allerdings für zwei Stunden nicht erreichbar: «Mit Heartbleed hat das Problem nichts zu tun», sagt Sprecherin Sonja Stieglbauer. Es habe sich um einen Systemfehler gehandelt.

Austausch des Sicherheitszertifikats abwarten

Der Fehler «Heartbleed» setzt voraus, dass betroffene ihr System mit einem Update auf den aktuellsten Stand bringen.  Das wurde überwiegend schnell gemacht. Im Anschluss müssen allerdings aus Sicherheitsgründen auch noch sämtliche Verschlüsselungszertifikate ausgetauscht werden. «Ein Zertifikat ist vergleichbar mit einem Schlüssel: Erst, wenn das Schloss ausgewechselt ist, ist sicher, dass der Schlüssel nicht mehr verwendet werden kann», erklärt Ursula Diebold, Sprecherin der Aargauer Kantonalbank. Und das kann dauern: Bei der AKB können die Zertifikate erst heute Freitag gewechselt werden. Das liegt daran, dass diese von aktuell hoffnungslos überlasteten Drittanbietern ausgestellt werden. Das Passwort sollte erst geändert werden, wenn das neue Zertifikat ausgestellt ist. Banken, die das noch nicht erledigt haben, dürften Ihre Kunden informieren, sobald es soweit ist.

Anzeige

Ist Ihre Bank betroffen?

Banken Ist der Dienst betroffen? Wurde die Lücke behoben? Muss ich mein Passwort Ändern? Was sagt das Unternehmen?
Aargauer Kantonalbank Ja Ja Ja Unsere Server waren ebenfalls von der Lücke betroffen. Sie konnte am 9. April geschlossen werden. Wir empfehlen unseren Kundinnen und Kunden, ihr Passwort zu wechseln. Wichtig ist, das Passwort erst dann zu wechseln, wenn das Verschlüsselungszertifikat gewechselt wurde. (Vergleichbar mit einem Schlüssel, den Sie verlieren. Erst wenn Sie das Schloss gewechselt haben, sind sie sicher, dass der Schlüssel nicht mehr verwendet werden kann). Wir erhalten das Zertfifikat am 11. April und informieren unsere Kunden entsprechend.
Appenzeller Kantonalbank Ja Ja Ja Die Lücke konnte am 9. April geschlossen werden. Wir empfehlen einen regelmässigen Passwortwechsel.
Banca dello Stato del Cantone Ticino Antwort ausstehend
Banque Cantonale de Fribourg Antwort ausstehend
Banque Cantonale de Genève Antwort ausstehend
Banque Cantonale du Jura Antwort ausstehend
Banque Cantonale du Valais ? ? ? Soweit bekannt, wurden von unseren Dienstleistern umgehend passende Massnahmen ergriffen.
Banque Cantonale Neuchâteloise Antwort ausstehend
Banque Cantonale Vaudoise Nein - Nein Die BCV ist nicht von der Sicherheitslücke betroffen.
Basellandschaftliche Kantonalbank Ja Ja Nein Die Lücke wurde bei uns am 9. April geschlossen. Da das Passwort nicht das einzige nötige Sicherheitsmerkmal für ein Login ist, müssen unsere Kunden keine änderungen vornehmen.
Basler Kantonalbank Ja Ja Ja Die Sicherheitslücke ist seit dem 9. April geschlossen. Das E-Banking verfügt über ein zweistufiges Login-Verfahren. Das heisst, dass nebst Benutzer-ID und Passwort z.B. noch ein SMS Code eingetippt werden muss. Wir empfehlen den Kunden regelmÄssig das Passwort zu wechseln.
Berner Kantonalbank Nein - Nein Die BEKB empfiehlt die üblichen Sicherheitsmassnahmen: Aktuelle Virensoftware, das Betriebssystem aktuell halten, sichere Passwörter verwenden, ungewöhnliche E-Mails nicht beachten, Verlauf und Cache des Browsers regelmässig löschen, das Login fürs E-Banking niemals elektronisch speichern und niemandem Preis geben. Die Bank fragt niemals nach diesen Merkmalen.
Clientis Ja Ja Ja Die Internetseiten der Clientis Banken sind nicht betroffen. Die e-Banking-Seiten waren betroffen; die Schwachstelle wurde am 09. April behoben, und den Unsern wird empfohlen, das Passwort zu wechseln.
Credit Suisse Ja Ja Nein OpenSSL ist eines von mehreren Sicherheitselementen, das Problem wurde bereits am 9. April gelöst. Die Credit Suisse informierte auf ihrer Website. Für die Kunden hat keine Gefährdung bestanden. Wir raten unseren Kunden, das Passwort regelmässig neu zu setzen.
Freie Gemeinschaftsbank Antwort ausstehend
Glarner Kantonalbank Ja Ja Nein Wir haben die Lücke am 9. April geschlossen und konnten am 10. April neue Sicherheitszertifikate installieren. Eine änderung des Passwortes ist nicht nötig, wir raten allerdings allgemein dazu, sämtliche Passwörter alle 60 bis 90 Tage zu wechseln.
Graubündner Kantonalbank Ja Ja Ja Nachdem die Sicherheitslücke bekannt wurde, haben wir unsere Server aktualisiert und alle nötigen Zertifikate ersetzt. Von daher können wir für die GKB-Dienste Entwarnung geben. Wir raten generell, das Passwort regelmässig zu Ändern (Weitere Infos auch auf www.ebankingabersicher.ch).
Hypo Lenzburg Ja Ja Ja Nach Bekanntgabe der OpenSSL-Schwachstelle haben wir unser E-Banking bis zur Lösung des Problems am 9. April ausser Betrieb genommen. Die Zugangssicherheit basiert auf mehreren Sicherheitsfaktoren und war jederzeit gewÄhrleistet. Den Kunden, die eine Streichliste benutzen, empfehlen wir, das Passwort zu wechseln.
LGT Antwort ausstehend
Luzerner Kantonalbank Ja Ja Ja Wir haben die Sicherheitslücke geschlossen, das Zertifikat ausgetauscht und empfehlen unseren Kunden das E-Banking-Passwort zu ändern. Diese Information sind auch auf unserer Website) abrufbar.
Neue Aargauer Kantonalbank Ja Ja Nein OpenSSL ist eines von mehreren Sicherheitselementen, das Problem wurde bereits am 9. April gelöst. Die NAB, eine Tochtergesellschaft der Credit Suisse, informierte auf ihrer Website. Für die Kunden hat keine Gefährdung bestanden. Wir raten unseren Kunden, das Passwort regelmÄssig neu zu setzen.
Nidwaldner Kantonalbank Antwort ausstehend
Obwaldner Kantonalbank Ja Ja Ja Wir haben die Sicherheitslücke geschlossen und das Zertifikat ausgetauscht. Das E-Banking kann wie gewohnt genutzt werden. Wir empfehlen den Nutzern ihr Passwort zu ändern und dies auch später in regelmässigen Abständen zu tun.
Post Finance Ja Ja Nein Die Sicherheit des digitalen Leistungsangebots ist gewÄhrleistet. PostFinance hat Massnahmen umgesetzt, um die Lücke zu schliessen. Es ist nicht nötig, dass Kunden ihre Passwörter Ändern.
Raiffeisen Ja Ja Nein Raiffeisen hat die Lücke am 8. April geschlossen. Durch das Betrugserkennungssystem war das E-Banking vor missbrÄuchlichen Zahlungen geschützt. Unsere Kunden müssen nichts unternehmen.
Schaffhauser Kantonalbank Ja Ja Ja Die Sicherheit war zu jeder Zeit gewährleistet. Unautorisierte Zahlungen werden von weiteren Sicherheitsmerkmalen verhindert. Zur Sicherheit empfehlen wir unseren Kunden, das Passwort beim nächsten Login zu wechseln.
St. Galler Kantonalbank Ja Ja Nein Wir haben keine Anhaltspunkte über unsere Betroffenheit. Aus Sicherheitsgründen haben wir reagiert und bereits am 8. April entsprechende Software-Updates installiert. Eine direkte Handlungsaufforderung an unsere Kunden im Zusammenhang mit der SSL-Sicherheitslücke gab es nicht.
Schwyzer Kantonalbank Ja Ja Nein Wir haben die Lücke am 8. April geschlossen und am darauffolgenden Tag neue Sicherheitszertifikate ausgestellt. Zusätzlich werden Versuche, den behobenen Bug auszunutzen, seit dem 10. April bereits von unserer Firewall abgeblockt. E-Banking-Nutzer verhalten sich richtig, wenn sie sich an die Weisungen von EBAS oder MELANI befolgen.
Thurgauer Kantonalbank Ja Ja Nein
UBS Nein - Nein Die Online Services von UBS sind nicht und waren nie betroffen. Es wurde in der Vergangenheit wie auch aktuell eine andere Version von OpenSSL verwendet, die diesen Fehler nicht aufweist.
Valiant Ja Ja Ja Wir informieren unsere Kunden auf der Website. Wir waren von der Lücke betroffen, haben sie aber am Mittwoch behoben. Wir raten unseren Kunden, ihr Passwort zu Ändern.
Zürcher Kantonalbank Nein - Nein Das E-Banking der Zürcher Kantonalbank ist nicht betroffen. Wir informieren unsere Kunden auf unserer Website über kritische Sachverhalte.
Anzeige