Immer noch Lücken bei 17 Banken
c't über unsichere Banken-Websites

Hannover, 28. Januar 2011 - Drei Monate, nachdem ein 16-jähriger Schüler auf 17 Banken-Websites Sicherheitslücken entdeckt hatte, haben alle 17 Banken weiterhin ernstzunehmende Sicherheitsprobleme. Bei zweien gab es sogar Lücken, die die Sicherheit des Servers selbst gefährdeten, schreibt das Computermagazin c't in der aktuellen Ausgabe 4/11.

Zwei Banken-Server konnte man über geschickt gewählte URLs dazu veranlassen, Systemdateien einzubinden und anzuzeigen. Auf diesem Weg lassen sich dann oft auch Passwörter, etwa für den Datenbankzugang, ausspionieren. Das Gros der aufgedeckten Sicherheitsprobleme beruhte erneut auf sogenanntem Cross Site Scripting (XSS). Dabei kann ein Angreifer etwa über eine geschickt präparierte URL Code in eine Webseite einschleusen. So lassen sich beispielsweise Zugangsdaten ausspionieren, was besonders professionelle Phishing-Angriffe ermöglicht.

Der eigentliche Angriff passiert im Browser des Anwenders, der den Link anklickt. Dennoch liegt der Fehler im Banken-Server, auch wenn die Sicherheit der Daten auf diesem nicht gefährdet ist. Häufige Ursache der Probleme waren Zusatzangebote wie Börsenkurse, Finanzberatung oder ein Stellenmarkt. Doch bei drei Banken waren nicht einmal die Login-Seiten ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme informierte, wurden diese innerhalb weniger Tage behoben. Einem Sicherheitsberater war es zuvor anders ergangen. Nach neun Monaten erfolgloser Bemühungen wandte er sich an heise Security. Danach dauerte es nur zwei Tage, bis die Lücke geschlossen war. "Ganz offensichtlich ist schlechte Presse nach wie vor ein wichtiges Argument, um Banken dazu zu bewegen, mehr für die Sicherheit ihres Web-Auftritts zu tun", stellt c't-Redakteur und heise Security-Chefredakteur Jürgen Schmidt fest.