Logo von heise online

Suche
Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  2. l+f: Interpol sucht sächsischen Innenminister – gewissermaßen

    lost+found: Was von der Woche übrig blieb

    Warum hat Interpol den Politiker Markus Ulbig auf dem Kieker?

  3. In eigener Sache: Pilotprojekt HTTPS

    In eigener Sache: Pilotprojekt HTTPS

    Was lange währt -- naja, noch nicht ganz. Aber immerhin kann man ab sofort, heise Security via HTTPS abrufen. Das Projekt befindet sich noch im Testbetrieb.

  4. Adobe-Patchday lässt kritische Flash-Lücke ungepatcht

    Adobe-Patchday lässt kritische Flash-Lücke ungepatcht

    Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.

  1. Software zur aktuellen Ausgabe

    Software zur aktuellen Ausgabe

    Hier sammeln wir die Links auf Downloads zur jeweils aktuellen Ausgabe von c't

  2. Willkommen auf der modernisierten c't-Webseite

    Willkommen auf der modernisierten c't-Webseite

    Wir haben heute eine ganze Reihe von Umbauten an der c't-Webseite vorgenommen und freuen uns auf Ihr Feedback.

  3. c't uplink 12.8: Datentarife, OnePlus 3, Bezahlen mit dem Handy

    c't uplink 12.8: Datentarife, OnePlus 3, Bezahlen mit dem Handy

    Die jüngste Folge unseres Podcasts aus Nerdistan versucht Pokémon-frei zu bleiben: Wir sprechen über Datentarife für Smartphones, das neue OnePlus 3 und wie weit man beim Bezahlen ohne Bargeld und Bezahlkarten kommt.

  1. Spotify: Telekom stampft unlimitiertes Datenvolumen für Musikstreaming ein

    Musik hören

    Bisher war für Kunden die ein Spotify-Abo bei der Telekom abgeschlossen haben das verbrauchte Datenvolumen inklusive. Das ändert sich für Neukunden ab 2. August.

  2. Google Play Store: Familienmediathek freigeschaltet

    Google

    Google hat seinen Play Store um die Familienmediathek erweitert. Die neue Funktion ermöglicht es, gekaufte Inhalte innerhalb einer Familie zu teilen.

  3. Windows 10 für Spätentschlossene

    Windows 10 für Spätentschlossene

    Ende Juli endet die Frist zum Gratis-Upgrade auf Windows 10. Wer dem Upgrade-Angebot seit Monaten aus dem Weg geht, nun aber doch umsteigen will, rudert erstmal mit den Armen: Wie macht man den W10exit rückgängig? Und danach? Eine Schritt-für-Schritt-Anleitung.

  4. Klassiker: Mercedes 190 SL-R

    Klassiker

    Der Mercedes 190 SL zieht einen von der ersten Sekunde an in ihren Bann. Als Rennversion 190 SL-R mit frisierter Maschine und kurzer Übersetzung verliert der Roadster - gründlich abgespeckt - 100 Kilogramm und das Dach. Der Fahrspaß ist immens - auch heute noch

Anzeige