Deutschlands unsicherste Banken

Verschlüsselung ist das A und O im Internet. Besondere Bedeutung kommt der Verschlüsselung zu, wenn es um Geldangelegenheiten geht. Insoweit sollten Banken und Sparkassen hier besonders gut aufgestellt sein.

Die Praxis sieht aber wohl weitgehend anders aus. Eine Bank, die einem Kunden keine sichere Verschlüsselung anbietet interessiert sich offenbar einen Dreck für die Bedürfnisse des Kunden. Daher sollten die Kunden einfach ihre Schlüsse daraus ziehen und zu einer Bank gehen, die eine sichere Verschlüsselung anbietet.

Die sog. RC4 Verschlüsselung ist geknackt, sie kann in Echtzeit mitgelesen werden und sollte daher lt. BSI-Empfehlung in 2014 nicht mehr eingesetzt werden. Man könnte noch argumentieren, dass RC4 für völlig veraltete Software weiterhin angeboten wird.


Aber genau darum geht es in dieser Übersicht nicht. Die aktuellen Versionen von Firefox, Google Chrome, Opera usw. unterstützen alle wesentlich bessere Verschlüsselungen als RC4. Insoweit liegt es an dem Server der Bank mit dem Webbrowser des Kunden eine gute Verschlüsselung auszuhandeln. Dabei sollte der Server mit der bestmöglichen Verschlüsselung anfangen. Unterstützt der Browser des Kunden diese Verschlüsselung nicht, wird sukzessiv mit der nächstbesten Verschlüsselung weiter gemacht.

Die Server der hier aufgelisteten Banken sind aber falsch konfiguriert, sodass diese nicht mit der besten Verschlüsselung anfangen, sondern mit der schlechstesten Verschlüsselung.

Der Server der Bank fragt den Kunden-Browser also nach RC4. Diese Verschlüsselung ist schlecht und alt, aber jeder Browser kann sie unterstützen. Also einigen sich die schlecht konfigurierten Server mit dem Kundenbrowser auf eine geknackte Verschlüsselung.

Arten der Verschlüsselung

Wer mehr Sicherheit beim Homebanking wünscht, sollte eine Bank wählen die es schafft den eigenen Server ordentlich zu konfigurieren.

Nachfolgend eine Liste der Banken, die uns bei unseren Testaufrufen die veraltete RC4-Verschlüsselung zuerst angeboten haben:

Paypal
Die Bank hat noch nicht geantwortet.

Banken die die Verschlüsselung inzwischen geändert haben.

Barclays
Die Bank hat noch nicht geantwortet, aber auf Anfrage des Verbraucherschutz inzw. reagiert.

Landesbank Berlin
Die Bank hat geantwortet und inzw. reagiert.

HypoVereinsbank @hypovereinsbank
Die Bank hat geantwortet und inzw. reagiert.

ICICI Bank
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung an.

Santander Consumer Bank
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 128 AES Verschlüsselung an.

Postbank @postbank
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 128 AES Verschlüsselung an.

Bank of Scottland
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung an.

OnVista Bank @OnVista_News
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 128 AES Verschlüsselung mit PFS an.

Mercedes-Benz Bank @MB_Bank
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung an.

Augsburger Aktienbank
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung mit Perfect Forward Secrecy an. Also perfekt.

Corealdirect Bank AG
Antwort von Corealdirect ist bei uns eingegangen. Die RC4 Verschlüsselung wird nun nicht mehr angeboten.

Donner & Reuschel
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung mit Perfect Forward Secrecy an. Also perfekt.

Bankhaus August Lenz @banklenz
Die Bank hat geantwortet und reagiert. RC4 wird nicht mehr angeboten. Sie bietet jetzt eine 256 AES Verschlüsselung an.

Update 19. April 2014, 20:12 Uhr.
Es wurden nur die Banken aufgenommen, die in Deutschland einen Sitz haben, eine DE-URL nutzen, sowie Endkundengeschäft betreiben.

Update 21. April 2014, 19:30 Uhr.
Die IWBank wurde von der Liste entfernt, da sie keinen Geschäftskontakt in Deutschland hat. Sogar Telefonsupport für potentielle Kunden wird nicht in deutscher Sprache angeboten.

Update 08. Mai 2014, 00:45 Uhr.
Auf vielfachen Wunsch wird die LBB Berlin aufgenommen.

Beweisführung: