Dafür haben wir eine Reihe von Servern getestet, die für Online-Banking via HBCI respektive FinTS genutzt werden. Auch hier kommt als Transportsicherung TLS beziehungsweise SSL zum Einsatz. Und fast alle Server unterstützen nach wie vor SSLv3, darunter die von Comdirect, Consors, Deutsche Bank, Hypovereinsbank, Ing-Diba, Norisbank, Postbank, die von der Fiducia für Volksbanken und Raiffeisenbanken genauso wie die von der Finanz Informatik für die Sparkassen betriebenen Server.

Auch hier gilt zwar, dass sich der Poodle-Angriff zumindest nicht direkt auf HBCI-Banking übertragen lässt. Aber gerade in einem so sensiblen Bereich wie dem Online-Banking hat ein nachgewiesenermaßen kaputtes Protokoll nichts mehr zu suchen. Dass es auch anders geht, zeigen die 1822Direkt, Allianz und die Haspa; die drei haben SSLv3 auf ihren HBCI-Servern bereits abgeschaltet.

Die GAD (genossenschaftliche Rechenzentrale in Münster) hat gestern auch abgeschaltet.