Online-Banking in öffentlichen Netzwerken als angebliches Sicherheitsrisiko

Hallo zusammen,
Ich habe sehr oft gelesen, dass davon abgeraten wird Onlinebanking (z. B. auf dem Smartphone) in öffentlichen Netzwerken zu nutzen, da diese Angeblich eine Sicherheitslücke darstellen.
Auf mich wirkt diese Empfehlung so, als würde man empfehlen das Internet nicht zu nutzen, da es eine Sicherheitslücke darstellen kann.

Meine Frage setzt natürlich voraus, dass nicht fahrlässig gehandelt wird, wie das ignorieren von Hinweisen auf ungültige Zertifikate. Wo genau soll also die Sicherheitslücke im öffentlichen Netzwerk sich befinden, wenn ich mich über eine verschlüsselte Verbindung, wie die Banking App oder HTTPS-Website ins Online-Banking einlogge?

Frohe Ostern
Megaem

Die Ratschläge stammen noch aus der Zeit als viele Webseiten oder Apps kein HTTPS verwendet haben. Wie du richtig bemerkt hast, ist das bei Banken schon lange nicht mehr der Fall, also gibt es kein nennenswertes Risiko. Nur ein Beispiel von vielen wo Techjournalismus oder Bürokraten völlig veraltetes Wissen wiederkauen.

3 „Gefällt mir“

Eine Man-In-the-Middle Attacke wäre noch denkbar, aber eher unwahrscheinlich…

Daran habe ich auch gedacht. Würde das nicht an einem fehlenden/falschen Zertifikat auffallen?

Kann ein Dritter die aufgerufene Seite Identifizieren? Oder sieht er nicht ein mal dies bei einer HTTPS Verbindung?

Du hast den ServerNameIdentifier in der TLS Verbindung und du hast die DNS-Auflösung vorher.
Insofern ist es identifizierbar wenn du im gleichen Netz bist.
EncryptedClientHello um den SNI abzudichten ist grade in Arbeit und für das DNS-Auflösungsproblem gibt es verschlüsselten DNS Transport via (DOH/DOT/DOQ) , bei mobilen Geräten auch PrivateDNS genannt in den Einstellungen die man ausserhalb des heimischen Netzes nutzen kann.

Und wie soll das gehen bei HTTPS?

TLS-Proxy z.b.

Ich schrieb ja auch eher unwahrscheinlich;)

Ich halte das nicht für eine Sicherheitslücke. Die Daten, die übermittelt werden, sind zwischen Browser und Webserver verschlüsselt. Weder eine mithörende Person in der Funkzelle, noch diejenige Person, die das WLAN betreibt, können diese Daten mitlesen.
Allerdings kann von den genannten Personen gesehen werden, welchen Server du aufrufst (also z. B. www.kuketz-forum.de, aber nicht www.kuketz-forum.de/t/online-banking-in-oeffentlichen-netzwerken-als-angebliches-sicherheitsrisiko/). Das ist anhand der DNS-Auflösung vor sowie aufgrund der Server Name Indication (SNI) während des Verbindungsaubaus sichtbar. Das ist ein Thema des Datenschutzes, aber nicht der Sicherheit an sich.
In einem öffentlichen, unverschlüsselten WLAN meldest du dich nicht an. Es ist also ersichtlich, dass jemand einen bestimmten Server kontaktiert. Wer diese Person ist, ist allerdings nicht ersichtlich (außer, du bist der einzige Nutzer zu diesem Zeitpunkt).

Ein Man-in-the-Middle-Angriff, bei dem die verschlüsselte Verbindung aufgebrochen wird, führt immer zu einer Zertifikatswarnung. Der Angriff ist also immer nur mit Mithilfe des Opfers möglich.

2 „Gefällt mir“

Was genau meinst Du damit?
Das man sich aus Sicherheitsgründen dort nicht anmelden sollte?

Danke für die Nachfrage. Das war ein Denkfehler. Ein unverschlüsseltes, „offenes“ WLAN verlangt keine Authentisierung - das war mein Gedanke. Aber der ist falsch. Natürlich gibt es auch unverschlüsselte WLANs, bei denen dann der Browser aufpoppt und man sich dort anmelden muss. Ein Sicherheitsproblem ist das nicht. Der Datenverkehr ist damit jedoch einem Benutzer zuzuordnen. Insofern ist das ein Datenschutzthema, nicht aber ein Sicherheitsthema.

1 „Gefällt mir“

leider sind die dafür erforderlichen Ports in offenen WLANs oft gesperrt (und VPNs teilweise auch).
Aber mehr als die via DNS und SNI anfallenden Metadaten halte ich auch für unwahrscheinlich. Andererseits überweise ich Rechnungen doch eher zuhause wo sie im Briefkasten landen und selten unterwegs.

Je nach verwendeter Config seitens der Bank sind grundsätzlich Downgrade-Angriffe, falsche Zertifikate, gefälschte „echte“ Zertifikate o. ä. denkbar. Aber: Downgrade-Angriffe setzen i.d.R. voraus, dass die von der Bank verwendete Technik / Config nicht dem Stand der Technik entspricht, sprich die Bank keine gängigen Gegenmaßnahmen (z. B. HSTS) nutzt. Falsche Zertifikate setzen voraus, dass der User die Zertifikatswarnung wegklickt - hier sitzt das Problem also vor dem PC. Und gefälschte „echte“ Zertifikate zu bekommen ist absolut nicht trivial - für einen 0815-Angreifer eigentlich kaum möglich.

Es sei denn, man kann sich ein gültiges Cert einer akzeptierten CA erschleichen. Aber wie gesagt: Für kommerzielle 0815-Hacker in mehr als 99,9 % der Fälle nicht praktikabel. Und wer das kann macht andere Dinge, als Heinz-Günther von im offenen WLAN das Konto leerzuräumen - zumal dafür ja noch deutlich mehr erforderlich ist.

Ich bin generell kein Freund von Onlinebanking in der Öffentlichkeit - aber eher aus grundsätzlichen Erwägungen. Eine konkrete, schwerwiegende Gefahr durch die Nutzung eines öffentlichen Netzwerks für die Sicherheit des Onlinebankings im Speziellen kann ich nicht erkennen.

Fazit: Die Verschlüsselung eines privaten Netzwerks ist eine zusätzliche Schutzschicht, auf die man in öffentlichen Netzwerken verzichtet. Für das konkrete Angriffsszenario „kommerzieller Hacker vor Ort will auf deine Bankdaten zugreifen“ ist das aber m. E. kein schwerwiegendes Risiko, der zusätzliche Schutz ist eher akademischer Natur. Zumal der Hacker damit ja noch lange keine beliebigen Überweisungen tätigen kann. Und auch ein Manipulieren von Überweisungseingaben sind absolut nicht trivial und setzen in der Regel eine erhebliche Unachtsamkeit des Opfers voraus. Andere Aspekte, die für die Verwendung verschlüsselter privater Netzwerke sprechen (insb. Einschleusen von Schadcode, aber auch Datenschutzaspekte), hier mal außen vor gelassen - das ist eine andere Baustelle und hat nichts konkret mit Onlinebanking zu tun.

2 „Gefällt mir“

Ich verwende in öffentlichen Netzwerken generell lieber einen VPN. Da bin ich lieber noch paranoid. Meistens mein Privat VPN von zu Hause über die Fritzbox. Da ist dann fast so als würde ich zu Hause ins Netz gehen. Zumindest ist es so viel schwieriger was abzugreifen.

2 „Gefällt mir“

Was aus der Sicherheitsperspektive auch absolut legitim ist, besonders wenn man keinen systemweiten „TLS-Zwang“ durchsetzt. Während ich eine spezifische Relevanz für das Onlinebanking in meinem vorherigen Post verneint habe, kann man das Risiko, dass ein lokaler Angreifer (oder gar der Betreiber des Hotspots) Schadsoftware in deine unverschlüsselten Verbindungen einschleust, je nach persönlichem Risikolevel durchaus als real betrachten.