87186

US-Banken ohne SSL-Login

24.08.2005 | 15:36 Uhr |

Die Login-Seiten einiger amerikanischer Großbanken werden teilweise ohne SSL betrieben - absichtlich.

Einige amerikanische Banken, darunter die Bank of America, verzichten bewusst auf eine komplett SSL-verschlüsselte Zugangsseite. Dies berichtet der Web-Dienstleister Netcraft . Auch das Kreditkartenunternehmen American Express geht demnach diesen Weg.

Die Gründe für diese fragwürdigen Maßnahmen liegen laut Netcraft wahrscheinlich hauptsächlich darin, dass die SSL-Verschlüsselung ganzer Web-Seiten Zeit kostet. Das Laden einer verschlüsselt übertragenen Web-Seite, deren URL üblicherweise mit "https" beginnt, dauert einfach länger. Die Banken verschlüsseln daher nur noch die eingegebenen Formulardaten. Dies geschieht, indem das Formular beim Absenden eine https-URL aufruft, die eine SSL-verschlüsselte Übertragung gewährleistet.

Damit ist zwar die Übertragung der Login-Daten verschlüsselt, jahrelange Kampagnen zur Aufklärung von Bankkunden werden jedoch ad absurdum geführt. Seit Jahren wird gepredigt, man solle besonders beim Online-Banking auf das Schloss-Symbol im Browser achten. Dieses zeige an, dass eine sichere, das heißt verschlüsselte Übertragung vertraulicher Daten gewährleistet ist.

Mit der Abkehr einiger Institutionen von SSL-verschlüsselten Web-Seiten entfällt diese Kontrollmöglichkeit für die Kunden. Sie müssen sich darauf verlassen, dass die Bank ihre Daten sicher überträgt. Dabei gibt es keine Gewähr, dass das Formular nicht bereits beim Aufruf der Web-Seite manipuliert wurde. Es könnte durch den berüchtigten "Mann in der Mitte" (Man-in-the-Middle-Attack) so verändert worden sein, dass es die eingegebenen Daten nicht zur Bank sondern zu einem Phishing-Server überträgt. Das könnte auch durch ein Trojanisches Pferd geschehen, das auf dem PC des Anwenders aktiv ist - dieses hätte allerdings auch direktere Möglichkeiten die Daten bei der Eingabe abzufangen.

Es bleibt zu hoffen, dass sich nicht noch weitere Banken für diesen Weg entscheiden, der Anti-Phishing-Kampagnen konterkariert und das Vertrauen der Kunden in die Sicherheit von Online-Banking weiter schwächt. Das kann nicht im Sinne der Banken sein, die durch Online-Banking sehr viel Geld sparen, das sie wenigstens teilsweise in die Leistungsfähigkeit ihrer Websites reinvestieren können.

0 Kommentare zu diesem Artikel
87186