Logo von heise online

Suche
Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

  1. Let's Encrypt: Ab dem 3. Dezember Gratis-SSL-Zertifikate für alle

    Schloss

    In Kürze startet Let's Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikate auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie. In c't erfahren Sie bereits jetzt alle Details.

  2. Android-Exploit schleust beliebige Apps ein

    Android-Exploit schleust beliebige Apps ein

    Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.

  3. l+f: Schwachstelle in Schwachstellen-Datenbank

    l+f: Adressleiste von Apples Safari leicht manipulierbar

    Vor Cross-Site-Scripting ist auch die nationale Schwachstellen-Datenbank der USA nicht gefeit.

  4. In eigener Sache: c't-Website im frischen Outfit

    In eigener Sache: c't-Website im frischen Outfit

    Wir haben die c't-Website neu aufgesetzt und dabei nicht nur an der Optik gefeilt, sondern vor allem am Unterbau ganz viel verändert. Die Seite war in die Jahre gekommen und sie hatte diverse technische Altlasten.

  1. RTFM: Eure Highlights

    c't 4/97

    Was verbindet Ihr mit der c't? Welche Geschichten fallen Euch spontan ein, wenn Ihr an die c't denkt? Welche Erlebnisse verbindet Ihr mit unserem Heft? Schreibt Sie auf und mailt sie uns.

  2. Warum wir jetzt Forward Secrecy brauchen

    Der SSL-GAU zeigt nachdrücklich, dass Forward Secrecy kein exotisches Feature für Paranoiker ist. Es ist vielmehr das einzige, was uns noch vor einer vollständigen Komplettüberwachung aller Kommunikation durch die Geheimdienste schützt.

  3. c't-Labs: Neue Webseiten für c't

    Die neuen Steckbriefe bündeln alle Informationen zu einem Artikel in c't.

    Ab sofort bündelt ein Steckbrief auf ct.de zu jedem einzelnen c't-Artikel alle Informationen vom Forum bis zum Bonusmaterial. Das war weder der Anfang der Umbaumaßnahmen noch sind diese damit abgeschlossen. Begleiten Sie uns auf dem Weg zur neuen Webseite.

  1. Alpina B7 Biturbo: Vor der Basis

    Alpina

    Der neue Alpina B7 Biturbo kommt vor dem ähnlich kräftigen BMW 760Li auf den Markt, setzt aber andere Akzente. Schon die Maschine unterscheidet sich: Alpina setzt auf einen Achtzylinder, BMW baut einen Zwölfzylinder ein

  2. Chemiefabrik im Auspuff: Was die Euro 6c-Norm erfordert

    Die Entscheidung für einen Diesel wird künftig schwerer - und deutlich teurer, denn die Kosten für die Abgasreinigung steigen mit Euro 6c weiter. Aber auch beim Benziner tut sich was: Er bekommt einen Partikelfilter, wobei die finanziellen Folgen weitaus weniger gravierend sein werden als beim Diesel

  3. Neuer Fiat Tipo: Preise veröffentlicht

    Fiat

    Die Bezeichnung Tipo hat bei Fiat eine lange Tradition. Mit dem neuesten Modell könnte ein erfolgreiches Kapitel hinzukommen, denn die Italiener wollen ihn günstig verkaufen und haben auch Schrägheck in Kombi in Vorbereitung

  4. Ausfahrt mit dem BMW 225xe: Kein Alibi

    BMW, alternative Antriebe, Hybridantrieb

    Der 2er Active Tourer ist schon ein ungewöhnlicher BMW, doch als Hybrid überrascht er an unerwarteter Stelle. Das hat weniger mit seinem Plug-in-Hybrid zu tun als vielmehr mit einer überraschend aggressiven Preispolitik

Anzeige