Vor einer Woche haben Google Sicherheitsexperten aufgedeckt, dass Hacker eine HTTPS-Verbindung zu Servern über aktuelle Sicherheitsverfahren unterbinden und eine Verbindung über das veraltete und unsichere SSLv3-Protokoll erzwingen können (wir berichteten). Nun hat heise Security getestet und festgestellt, dass viele Mailserver, wie z.B. GMX, Google, OK.de, die Telekom, Web.de und Yahoo den alten SSLv3-Standard immer noch unterstützen. Noch erschreckender war das Ergebnis der Server, welche im Rahmen des Online-Bankings genutzt werden. Fast alle untersuchten Server unterstützen nach wie vor SSLv3. Darunter waren laut heise Security sowohl Systeme von Comdirect, Consors und der Deutschen Bank als auch von der Hypovereinsbank, der Ing-Diba, der Norisbank, und der Postbank.
Weiterhin sind auch Server von IT-Dienstleistern betroffen, welche die Systeme im Auftrag von großen Banken betreiben. Als Beispiele werden hier die Server der Fiducia für die Volksbanken und Raiffeisenbanken genannt, sowie die der Finanz Informatik, welche die Systeme für die Sparkassen betreibt. Heise Security räumt zwar ein, dass sich der Poodle-Angriff nicht eins zu eins auf das Online-Banking übertragen lässt, aber ein veraltetes und angreifbares Protokoll in einem so sicherheitsrelevanten Bereich nichts mehr zu suchen hat.
Die vollständige Meldung von heise finden Sie hier.