Logo von heise online

Suche
Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  2. In eigener Sache: Pilotprojekt HTTPS

    In eigener Sache: Pilotprojekt HTTPS

    Was lange währt -- naja, noch nicht ganz. Aber immerhin kann man ab sofort, heise Security via HTTPS abrufen. Das Projekt befindet sich noch im Testbetrieb.

  3. Let's Encrypt: Ab dem 3. Dezember Gratis-SSL-Zertifikate für alle

    Schloss

    In Kürze startet Let's Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikate auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie. In c't erfahren Sie bereits jetzt alle Details.

  4. Lieferando.de schließt Sicherheitslücke

    Lieferando.de schließt Sicherheitslücke

    Der Pizza-Bestelldienst Lieferando.de hat auf seiner Webseite eine Lücke geschlossen, über die Angreifer potentiell Accounts übernehmen konnten. Nutzerdaten sollen aber zu keinem Zeitpunkt in Gefahr gewesen sein, versichert das Unternehmen.

  1. RTFM: Eure Highlights

    c't 4/97

    Was verbindet Ihr mit der c't? Welche Geschichten fallen Euch spontan ein, wenn Ihr an die c't denkt? Welche Erlebnisse verbindet Ihr mit unserem Heft? Schreibt Sie auf und mailt sie uns.

  2. Warum wir Forward Secrecy brauchen

    Der SSL-GAU zeigt nachdrücklich, dass Forward Secrecy kein exotisches Feature für Paranoiker ist. Es ist vielmehr das einzige, was uns noch vor einer vollständigen Komplettüberwachung aller Kommunikation durch die Geheimdienste schützt.

  3. c't uplink 11.3: WhatsApp-Verschlüsselung, Heim-Server, Virtual Reality

    c't uplink 11.3: WhatsApp-Verschlüsselung, Heim-Server, Virtual Reality

    In der jüngsten Folge unseres Podcasts aus Nerdistan gucken wir uns die Verschlüsselung von WhatsApp an. Außerdem sprechen wir über praktische Server für Zuhause und die neuen Virtual-Reality-Brillen.

  1. Ministerium für digitale Infrastruktur pfuscht beim eigenen Web-Server

    BMVI

    Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

  2. c't uplink 11.6: Linux auf Windows, Raspi-Projekte, der neue Kindle Oasis

    c't uplink 11.6: Linux auf Windows, Raspi-Projekte, der neue Kindle Oasis

    In dieser Woche sprechen wir im Podcast aus Nerdistan über das Linux-Subsystem von Windows, verteilen mit dem Raspberry Pi Zufallszahlen im Netz und schauen uns den neuen E-Book-Reader Kindle Oasis von Amazon an.

  3. Fliegendes Motorrad von Chaos-Bastler Colin Furze

    Colin Furze baut manntragenden, bezinbetriebenen Duo-Copter

    Wie viele Propeller braucht man, um einen Menschen in die Luft zu pusten? Dem britischen Bastler Colin Furze (nur echt mit Schlips und Hemd aus der Hose) reichen zwei – Hauptsache, sie machen tüchtig Lärm.

  4. Mobilfunk-Tarife im Vergleich: Prepaid schlägt Laufzeitvertrag

    Mobilfunk-Tarife: Prepaid schlägt Laufzeitvertrag

    Wer ein günstiges Mobilfunkangebot sucht, muss sich durch den Tarifdschungel kämpfen. Im ausführlichen Vergleich zeigt sich, dass Prepaid-Tarife oft viel günstiger sind als Laufzeitverträge.

Anzeige