Logo von heise online

Suche
86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

  1. eBay: Weitere Schwachstellen, erzwungener Passwortwechsel

    Dieses harmlose Proof-of-Concept zeigt das Cookie nur an – mit ein paar Zeilen Code mehr hätte man es aber auch an fremde Server übertragen können.

    Die Sicherheitsprobleme bei eBay nehmen noch kein Ende. Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid. Außerdem hat es damit begonnen, seine Nutzer zum Passwortwechsel zu zwingen.

  2. l+f: Paypal kämpft mit XSS-Problemen

    l+f: Tor-Deanonymisierung zu 81% erfolgreich

    Nur weil keiner mehr über Cross Site Scripting berichtet ist es längst nicht tot.

  3. Hack gegen AVM-Router: Fritzbox-Lücke offengelegt, Millionen Router in Gefahr

    Die Schonfrist ist abgelaufen: Im Netz kursieren Details, wie man die kritische Schwachstelle in den Fritzboxen ausnutzt. Das bedeutet akute Gefahr, da nach Erkenntnissen von heise Security noch immer sehr viele AVM-Router verwundbar sind.

  1. Aufspüren von CSRF-Lücken

    Wenn bösartige Webseiten den Router umkonfigurieren oder im Webmail-Frontend eine Weiterleitung einrichten ist meist Cross Site Request Forgery im Spiel. Der CSRFTester von OWASP spürt solche Lücken gezielt auf.

  2. Websites aktuell

    Auf der Website MyColorscreen finden Kreative jede Menge Anregungen und mehr als 12 000 Vorlagen zur Gestaltung eines persönlichen Smartphone- Startbildschirms. Außerdem: Web-Tipps zu Kunst in QR-Codes, anschaulichen Info-Grafiken und zur Analyse von Fußballspielen.

  3. RTFM: Eure Highlights

    c't 4/97

    Was verbindet Ihr mit der c't? Welche Geschichten fallen Euch spontan ein, wenn Ihr an die c't denkt? Welche Erlebnisse verbindet Ihr mit unserem Heft? Schreibt Sie auf und mailt sie uns.

  1. So erkennen Sie gefälschte Samsung-Akkus

    So erkennen Sie gefälschte Samsung-Akkus

    Viele Fälschungen sehen professionell aus – aber wenn man ein Original daneben hält, fallen Unterschiede auf. Auch der Preis ist ein Anhaltspunkt.

  2. Plastikbrüll

    Kunststoffmotor

    Aus dem Fraunhofer-Institut kommt – nicht zum ersten mal – der Vorschlag, Kunststoff im Motor einzusetzen. Und zwar nicht wie bisher schon üblich, bei ohnehin eher leichten Anbauteilen wie Zylinderkopfhaube, Ansaugtrakt oder Ölwanne, sondern beim massiven Kurbelgehäuse

  3. Router-Angriffen vorbeugen

    Jeder Router ist rund um die Uhr Angriffen aus dem Internet ausgesetzt. Ein paar Vorsichtsmaßnahmen reduzieren das Risiko, dass ein Angriff zum Erfolg führt – selbst wenn ein Sicherheitsloch in der Router-Software klafft.

  4. Vom E zum i

    Heute hat er Premiere und wenn Ende 2013 der erste für einen Kunden gefertigte i3 in Leipzig vom Band rollt, ist dies nicht der erste Elektro-BMW. Bereits vor 41 Jahren, bei den Olympischen Spielen 1972 in München, liefen zwei elektrisch angetriebene BMW 1602. Doch das war nicht alles

Anzeige