Hallo zusammen,
Ich habe sehr oft gelesen, dass davon abgeraten wird Onlinebanking (z. B. auf dem Smartphone) in öffentlichen Netzwerken zu nutzen, da diese Angeblich eine Sicherheitslücke darstellen.
Auf mich wirkt diese Empfehlung so, als würde man empfehlen das Internet nicht zu nutzen, da es eine Sicherheitslücke darstellen kann.
Meine Frage setzt natürlich voraus, dass nicht fahrlässig gehandelt wird, wie das ignorieren von Hinweisen auf ungültige Zertifikate. Wo genau soll also die Sicherheitslücke im öffentlichen Netzwerk sich befinden, wenn ich mich über eine verschlüsselte Verbindung, wie die Banking App oder HTTPS-Website ins Online-Banking einlogge?
Die Ratschläge stammen noch aus der Zeit als viele Webseiten oder Apps kein HTTPS verwendet haben. Wie du richtig bemerkt hast, ist das bei Banken schon lange nicht mehr der Fall, also gibt es kein nennenswertes Risiko. Nur ein Beispiel von vielen wo Techjournalismus oder Bürokraten völlig veraltetes Wissen wiederkauen.
Du hast den ServerNameIdentifier in der TLS Verbindung und du hast die DNS-Auflösung vorher.
Insofern ist es identifizierbar wenn du im gleichen Netz bist.
EncryptedClientHello um den SNI abzudichten ist grade in Arbeit und für das DNS-Auflösungsproblem gibt es verschlüsselten DNS Transport via (DOH/DOT/DOQ) , bei mobilen Geräten auch PrivateDNS genannt in den Einstellungen die man ausserhalb des heimischen Netzes nutzen kann.
Ich halte das nicht für eine Sicherheitslücke. Die Daten, die übermittelt werden, sind zwischen Browser und Webserver verschlüsselt. Weder eine mithörende Person in der Funkzelle, noch diejenige Person, die das WLAN betreibt, können diese Daten mitlesen.
Allerdings kann von den genannten Personen gesehen werden, welchen Server du aufrufst (also z. B. www.kuketz-forum.de, aber nicht www.kuketz-forum.de/t/online-banking-in-oeffentlichen-netzwerken-als-angebliches-sicherheitsrisiko/). Das ist anhand der DNS-Auflösung vor sowie aufgrund der Server Name Indication (SNI) während des Verbindungsaubaus sichtbar. Das ist ein Thema des Datenschutzes, aber nicht der Sicherheit an sich.
In einem öffentlichen, unverschlüsselten WLAN meldest du dich nicht an. Es ist also ersichtlich, dass jemand einen bestimmten Server kontaktiert. Wer diese Person ist, ist allerdings nicht ersichtlich (außer, du bist der einzige Nutzer zu diesem Zeitpunkt).
Ein Man-in-the-Middle-Angriff, bei dem die verschlüsselte Verbindung aufgebrochen wird, führt immer zu einer Zertifikatswarnung. Der Angriff ist also immer nur mit Mithilfe des Opfers möglich.
Danke für die Nachfrage. Das war ein Denkfehler. Ein unverschlüsseltes, „offenes“ WLAN verlangt keine Authentisierung - das war mein Gedanke. Aber der ist falsch. Natürlich gibt es auch unverschlüsselte WLANs, bei denen dann der Browser aufpoppt und man sich dort anmelden muss. Ein Sicherheitsproblem ist das nicht. Der Datenverkehr ist damit jedoch einem Benutzer zuzuordnen. Insofern ist das ein Datenschutzthema, nicht aber ein Sicherheitsthema.
leider sind die dafür erforderlichen Ports in offenen WLANs oft gesperrt (und VPNs teilweise auch).
Aber mehr als die via DNS und SNI anfallenden Metadaten halte ich auch für unwahrscheinlich. Andererseits überweise ich Rechnungen doch eher zuhause wo sie im Briefkasten landen und selten unterwegs.
Je nach verwendeter Config seitens der Bank sind grundsätzlich Downgrade-Angriffe, falsche Zertifikate, gefälschte „echte“ Zertifikate o. ä. denkbar. Aber: Downgrade-Angriffe setzen i.d.R. voraus, dass die von der Bank verwendete Technik / Config nicht dem Stand der Technik entspricht, sprich die Bank keine gängigen Gegenmaßnahmen (z. B. HSTS) nutzt. Falsche Zertifikate setzen voraus, dass der User die Zertifikatswarnung wegklickt - hier sitzt das Problem also vor dem PC. Und gefälschte „echte“ Zertifikate zu bekommen ist absolut nicht trivial - für einen 0815-Angreifer eigentlich kaum möglich.
Es sei denn, man kann sich ein gültiges Cert einer akzeptierten CA erschleichen. Aber wie gesagt: Für kommerzielle 0815-Hacker in mehr als 99,9 % der Fälle nicht praktikabel. Und wer das kann macht andere Dinge, als Heinz-Günther von im offenen WLAN das Konto leerzuräumen - zumal dafür ja noch deutlich mehr erforderlich ist.
Ich bin generell kein Freund von Onlinebanking in der Öffentlichkeit - aber eher aus grundsätzlichen Erwägungen. Eine konkrete, schwerwiegende Gefahr durch die Nutzung eines öffentlichen Netzwerks für die Sicherheit des Onlinebankings im Speziellen kann ich nicht erkennen.
Fazit: Die Verschlüsselung eines privaten Netzwerks ist eine zusätzliche Schutzschicht, auf die man in öffentlichen Netzwerken verzichtet. Für das konkrete Angriffsszenario „kommerzieller Hacker vor Ort will auf deine Bankdaten zugreifen“ ist das aber m. E. kein schwerwiegendes Risiko, der zusätzliche Schutz ist eher akademischer Natur. Zumal der Hacker damit ja noch lange keine beliebigen Überweisungen tätigen kann. Und auch ein Manipulieren von Überweisungseingaben sind absolut nicht trivial und setzen in der Regel eine erhebliche Unachtsamkeit des Opfers voraus. Andere Aspekte, die für die Verwendung verschlüsselter privater Netzwerke sprechen (insb. Einschleusen von Schadcode, aber auch Datenschutzaspekte), hier mal außen vor gelassen - das ist eine andere Baustelle und hat nichts konkret mit Onlinebanking zu tun.
Ich verwende in öffentlichen Netzwerken generell lieber einen VPN. Da bin ich lieber noch paranoid. Meistens mein Privat VPN von zu Hause über die Fritzbox. Da ist dann fast so als würde ich zu Hause ins Netz gehen. Zumindest ist es so viel schwieriger was abzugreifen.
Was aus der Sicherheitsperspektive auch absolut legitim ist, besonders wenn man keinen systemweiten „TLS-Zwang“ durchsetzt. Während ich eine spezifische Relevanz für das Onlinebanking in meinem vorherigen Post verneint habe, kann man das Risiko, dass ein lokaler Angreifer (oder gar der Betreiber des Hotspots) Schadsoftware in deine unverschlüsselten Verbindungen einschleust, je nach persönlichem Risikolevel durchaus als real betrachten.
Der Hotspot-Betreiber kann das immer, auch bei verschlüsselten WLANs. Schließlich betreibt er einen der beiden Endpunkte der WLAN-Verschlüsselung.
Allerdings frage ich mich schon, wie das funktionieren soll. Die von mir mit beliebigen Zielen ausgetauschten Daten kann er nicht manipulieren, weil der Anteil der nicht TLS-verschlüsselten Daten nahezu null ist. Ausnahme ist DHCP und DNS. Bei DHCP hilft nichts, schließlich bist du auf eine IP-Adresse im WLAN angewiesen. Gegen Manipulation des DNS hilft tatsächlich nur ein VPN zu einem vertrauenswürdigen Endpunkt. In jedem Fall braucht es eine passende Schwachstelle auf deinem Gerät.
Wenn er nur das DNS manipuliert kann er im wesentliche nur ein DoS erreichen, denn die meiste verschlüsselte Kommunikation authentifiziert die Gegenstelle mit Zertifikat. Ein privater DNS-Server mit DoT/DoH/DoQ hilft, DoT (und auch VPNs) scheitert aber leider oft an Portsperren.
Inwiefern? Der Hotspot-Betreiber ist Endpunkt der WLAN-Verschlüsselung. Das schrieb ich bereits. Wenn der Betreiber des Hotspots nicht seriös ist, macht es keinen Unterschied ob das WLAN verschlüsselt ist oder nicht.
Allerdings. Bei Portsperren scheitert dann auch oft ein VPN, wenn dieser nicht auf TCP 443 läuft.
Eben. Er kann allenfalls den verschlüsselten Verkehr „kaputt“ machen, unabhängig davon ob das WLAN verschlüsselt oder nicht. Manipulieren kann er nur den unabhängig vom WLAN unverschlüsselten Verkehr (wie DHCP, DNS).
Es hat keinen Sinn, mit mir über Fragen zu diskutieren, die ich einem anderen Diskussionsteilnehmer gestellt habe. Ich bezog mich auf:
Fakt ist: Wenn der Hotspot-Betreiber derjenige ist, der so etwas vor hat, ist es völlig egal, ob das WLAN verschlüsselt ist oder nicht. Mehr habe ich nicht gesagt.
Offen bleibt immer noch, wo ich mir widerspreche. Du behauptest das, hast es aber auf meine Nachfrage noch nicht erklärt.