Schlechte Noten für Schweizer Server

Schlechte Noten für Schweizer Server

Details
Hauptkategorie: Informatik
Kategorie: Datenschutz & Datensicherheit

Auch ein Jahr nach Snowden ist immer noch erstaunlich viel Traffic in der Schweiz unverschlüsselt. Und dort wo bereits verschlüsselt wird, gibt es spätestens seit dem Bekanntwerden von Heartbleed Nachholbedarf.

Als Referenz dient mir eine Liste mit den 100 meistbesuchten Seiten der Schweiz, sowie eine vollständige Liste der Webseiten der Kantone und der Kantonalbanken (Front-Seite). Auch eine Liste mit den online-banking Seiten von knapp 100 Banken (inkl. Kantonalbanken) habe ich mir angelegt. Für eine rasche, Client-Übergreifende Auswertung verwende ich den Test von Qualys SSL Labs.

Das Resultat ist ernüchternd. Viele Portale halten Verschlüsselung nach wie vor für unnötig, auch wenn teils sensible Daten über deren Server laufen. Einige bieten zwar einen sicheren Zugang an, jedoch ausschliesslich für die Loginseite. Abhilfe kann da HTTPS Everywhere schaffen. Das Browser Add-On beinhaltet von der Community geschriebene Regeln, die einen wenn immer möglich auf https umleiten.

Unverschlüsselte E-Mails

Auch grosse Mailanbieter wie Swisscom (@bluewin.ch, @bluemail.ch) oder Cablecom (@hispeed.ch) haben die Verschlüsselung verschlafen. Bei ihnen herrscht noch immer KMU-Standart und alle Mails werden für jeden lesbar von Server zu Server gereicht.

Beide würden dies zwar gerne ändern, aber bisher ist nichts passiert.

Bankgeheimnis

Herr und Frau Schweizern legen zwar immer wieder Wert auf das Bankgeheimnis, geht es jedoch um online banking, so scheint die Sicherheit nicht immer an erster Stelle zu sein. Erschreckend viele Banken machen ihre Frontseiten immer noch unverschlüsselt zugänglich. Der Link zum anschliessend sicheren eBanking liesse sich problemlos austauschen. Wenn verschlüsselt wird, dann meist nur halbherzig und wenn man eine Bank mit dem Smartphone ansurft, so muss man mit grosser Wahrscheinlichkeit ganz auf TLS verzichten.

Bei den online banking Servern selber sieht es schon wesentlich besser aus. Hier wird auf einem akzeptablen Niveau verschlüsselt. Aber eigentlich sollten den Banken die Sicherheit der Kunden etwas mehr wert sein als akzeptabel. Bei den meisten Banken ist TLS 1.2 alleine schon die höchste Sicherheitsstufe. Forward Secrecy, HSTSCSP oder OCSP stapling fehlen oft, obwohl damit die Verschlüsselung erheblich verbessert und der Schaden bei einer Lücke wie Heartbleed minimiert werden könnten.

Heartbleed noch immer eine Gefahr

Nach dem Bekanntwerden der Heartbleed Lücke musste man annehmen, das die privaten Schlüssel, mit welchen die Verbindung entschlüsselt werden kann, abhanden gekommen sind. Folgende Massnahmen hätten getroffen werden sollen:

  1. OpenSSL Update installieren (und Dienste neu starten)
  2. Zertifikat widerrufen
  3. Neuer Privatekey erstellen
  4. Neues Zertifikat anfordern
  5. angemeldete Benutzer abmelden
  6. Nutzer informieren, dass Passwörter geändert werden sollten

Leider wurde dies nicht überall gemacht. Während der 1. Punkt nach einer knappen Woche überall durchgeführt war, wurde auf vielen Servern auf die anderen Sicherheitsmassnahmen verzichtet. Einzig bei den online banking Seiten wurde fast überall auch das Zertifikat ausgetauscht. Ob ein neuer Key generiert wurde weiss man nicht, aber man will es hoffen.

Und die anderen Sicherheitslücken?

Noch schlimmer ist es mit Lücken, die weniger in das Rampenlicht der Medien rückten. So wurde das nächste Update, in welchem sieben teils schwere Lücken gefixt wurden, auch einen Monat nach dessen Veröffentlichung auf vielen Servern noch nicht eingespielt - auch auf sensiblen Seiten wie Kantonalbanken, Swisscom oder der SBB.

Zukunftsaussichten

Die Domains auf der Liste beobachte ich nun schon seit einigen Monaten. Mein Fazit: Die Sicherheit wird nicht besser, sondern immer schlechter. Viele Portale passen die Konfiguration nicht an und installieren Updates nur äusserst zögerlich. Neue Features werden äusserst selten implementiert. Da die Sicherheitsanforderungen immer weiter steigen, sinkt die Sicherheit auf den einzelnen Portalen. Einige Portale lassen sogar ihre Zertifikate auslaufen (blick.ch, fahrplan.sbb.ch). Als Besucher ist das alles sehr ärgerlich und für mich ein Grund um solche Seiten zu meiden. Aus diesem Grund habe ich bspw. bis heute kein online Banking bei meiner Kantonalbank.

Auch bei jungen Portalen ist das leider kaum anders. Gerade bei diesen würde es sich eigentlich lohnen, von Anfang an auf HSTS zu setzten. So habe ich watson.ch kurz nach der Lancierung angefragt, ob sie den sowieso vorhanden TLS Support nicht ausbauen mögen, doch dies sei nicht geplant.