Logo von heise online

Suche
Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  2. Heise öffnet Enthüllungsplattform heise Tippgeber

    Heise startet Enthüllungsplattform heise Tippgeber

    Besonders sicher und auf Wunsch auch anonym können Whistleblower bei heise Tippgeber Informationen liefern, die auf Missstände hinweisen. Eine Veröffentlichung erfolgt gemäß den hohen journalistischen Standards, für die Heise steht.

  3. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  4. Let's Encrypt: Ab dem 3. Dezember Gratis-SSL-Zertifikate für alle

    Schloss

    In Kürze startet Let's Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikate auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie. In c't erfahren Sie bereits jetzt alle Details.

  1. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  2. c't uplink 13.1: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    c't uplink 13.0: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    Wie sicher ist Android und was sollten Nutzer beachten? Darüber sprechen wir in der neuen Folge des Podcasts aus Nerdistan. Außerdem klären wir über die Linux-Universalpakete von Flatpak und Snap auf, diskutieren einen mysteriösen Stern und No Man's Sky.

  3. Software zur aktuellen Ausgabe

    Software zur aktuellen Ausgabe

    Hier sammeln wir die Links auf Downloads zur jeweils aktuellen Ausgabe von c't

  1. VW I.D.: Studie eines Elektroautos in Paris

    VW, Elektroautos, alternative Antriebe

    VW stellt auf der Messe in Paris die Studie eines E-Autos vor. Ein Serienmodell soll folgen, allerdings lässt man nach bewährtem Konzept der Konkurrenz den Vortritt: Erst 2020 soll der VW I.D. auf den Markt kommen. Zu spät?

  2. Grüne: Ab 2030 keine Benzin- und Dieselautos mehr zulassen

    Tankstelle, Benzin, Spritverbrauch, Auto, Diesel

    Die Energiewende muss gerettet, die Verkehrswende eingeleitet werden. Die Zukunft heißt Elektromobilität – Benzin- und Dieselmotoren sind Auslaufmodelle, so sagen es zumindest die Grünen. Der Abgasskandal könnte ihnen recht geben.

  3. Google-Schutzschild rettet Blogger Krebs vor DDoS per IoT-Botnetz

    Schutzschild

    Security-Blogger Brian Krebs war von einem der größten DDoS-Angriffe der Geschichte überrascht worden. Nachdem Akamai die Segel gestrichen hatte, schützt nun Google seine Webseite im Namen der Meinungsfreiheit.

  4. Amazon überarbeitet Fire TV Stick

    Ãœberarbeiteter Amazon Fire TV Stick

    Amazon bringt in den USA eine überarbeitete Version seines günstigen HDMI-Sticks auf den Markt. Er hat eine 30 Prozent schnellere CPU, besseres WLAN und bringt die Alexa Voice Remote mit.

Anzeige