Ist mein Online-Banking sicher vor der NSA? Die von Edward Snowden angestoßene Spionage-Affäre hat viele Bankkunden verunsichert. Spätestens seitdem bekannt wurde, dass die NSA angeblich die Internet-Verschlüsselung geknackt hat, mehren sich Anfragen bei Banken und Anbietern von Banking-Software zum Thema Sicherheit. Softonic hat nachgefragt.
Ist unser Online-Banking sicher vor der NSA?
Diese Frage sieht Software-Experte Sven Klotz ganz entspannt. „Eine Massenüberwachung wie beim Protokoll HTTP wird beim Online-Banking nicht funktionieren“ erklärt der Leiter des Produktmanagements bei Star Finanz, einem Unternehmen der Sparkassen Finanzgruppe, in einem Gespräch mit Softonic.
Ähnlich sieht das der Bankenverband Die Deutsche Kreditwirtschaft: Die beim Online-Banking „verwendeten kryptographischen Algorithmen und Verfahren“ seien „durch die deutsche Bankenaufsicht und die Bundesdatenschutzbehörden als sicher für das Bankengeschäft anerkannt“ worden, heißt es in einer Stellungnahme. Nach Berichten, dass die NSA auch das Verschlüsselungsverfahren SSL geknackt habe, hatte Die Deutsche Kreditwirtschaft mit dieser Mitteilung reagiert.
SSL ist eine weltweit eingesetzte Verschlüsselungstechnologie, welche auch Grundlage der Kommunikation beim deutschen Bankenstandard FinTS ist. Meldet sich ein Nutzer über den Webbrowser beim Online-Banking an, verschlüsselt der Browser die Datenverbindung mit SSL und dessen Nachfolger TLS und stellt so eine sichere Kommunikation zwischen dem Kunden und der Bank her.
Wenn die NSA nun eine SSL-Verbindung entschlüsseln kann, was bedeutet das für den Kunden? Und für die Bankensicherheit?
Was kann die NSA wirklich?
Hauptquartier der NSA, Fort Meade, Maryland (Quelle: Wikipedia)
Alles, was wir aus den Snowden-Enthüllungen bislang wissen, ist, dass die NSA von sich selbst behauptet, SSL geknackt zu haben. So liest es sich im, unter anderem vom Guardian veröffentlichen Dokument zum Projekt Bullrun. In manchen Fällen setzt die Behörde auf Partnerschaften mit Sicherheitsunternehmen aus der Privatwirtschaft, in anderen Fällen auf mathematische Verfahren. Doch in den Dokumenten selbst heißt es, dass die NSA-Methoden nicht immer zur “Entschlüsselung führen”.
Nehmen wir einmal an, die NSA hätte die Rechenkapazitäten, um derartige Operationen zu tätigen. Im Falle des Online-Bankings würde dies bedeuten, dass die Behörde für einige Tage gigantische Supercomputer auf eine einzige Aufgabe ansetzt: Den Schlüssel für einen Datensatz finden, um diesen zu dechiffrieren. Ein Datensatz wäre in diesem Fall die Kommunikation eines Kunden mit seiner Bank.
In Deutschland würde die Sache für die NSA noch schwieriger. Online-Transaktionen basieren hierzulande auf transaktionsabhängigen TAN-Verfahren wie dem HBCI plus Chipkarte, welche mit eigenen und in Deutschland standardisierten Verschlüsselungsverfahren gesichert sind. „Das Verfahren HBCI plus Chipkarte gilt derzeit allgemein als sicherste Variante des Onlinebankings”, erklärt Matena Thomas von Buhl Data, Entwickler der WISO Online-Banking-Software. „Das Online-Banking bietet deswegen weiterhin ein Höchstmaß an Sicherheit”, heißt es auch in einer Stellungnahme von Die Deutsche Kreditwirtschaft.
Zusammengefasst: Das Hacken einer einzelnen SSL-Verbindung lohnt sich für die NSA nicht – Aufwand und Ertrag stehen in keinem Verhältnis. Denn Sicherheitsbehörden haben viel einfachere Mittel und Wege, an Finanzdaten zu kommen.
So kommt die NSA an Daten von Finanztransaktionen
Terror und organisierte Kriminalität benötigen Geld. Von daher haben Geheimdienste und Sicherheitsbehörden ein Interesse, den weltweiten Finanzverkehr zu überwachen. Dazu können die NSA und andere Sicherheitsbehörden aber schon seit langem auf offizielle Daten zugreifen: Denn der internationale Finanzverkehr wird bis auf wenige Ausnahmen über die in Belgien angesiedelte und von weltweiten Notenbanken kontrollierte SWIFT abgewickelt. Nach den Terror-Anschlägen des 11. September 2001 hat die SWIFT damit begonnen, auf Anfrage Informationen an US-Behörden weiterzugeben. Seit 2010 wird die Weitergabe der Daten an US- und EU-Behörden allerdings von Europol kontrolliert.
Gesetzliche Regelungen gestatten Behörden und Ermittlern im Verdachtsfall auch in Deutschland den Zugriff auf Kontobewegungen. Wenn eine Ermittlungsbehörde also einen Verdachtsfall hat, kann die Behörde die gewünschten Daten direkt und rückwirkend bei Banken bestellen.
Ohne Massenüberwachung nicht interessant
Das ernüchternde aber logische Fazit: Unser Online-Banking ist zur Zeit sicher vor dem Zugriff der NSA. Denn das Online-Banking ist dank mehrerer Sicherheitsverfahren gut geschützt und verhindert eine Massenüberwachung.
Der Geheimdienst hat also keine technische Möglichkeit, große Teile des verschlüsselten Zahlungsverkehr zu überwachen. Auch wenn sich dies in Zukunft aufgrund technischer Entwicklungen ändern kann – im Moment gibt es für die NSA viel einfachere, offizielle Möglichkeiten, an unsere Finanzdaten zu kommen.
Weitere Hintergrundinformationen
