Logo von heise online

Suche
Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  2. Heise öffnet Enthüllungsplattform heise Tippgeber

    Heise startet Enthüllungsplattform heise Tippgeber

    Besonders sicher und auf Wunsch auch anonym können Whistleblower bei heise Tippgeber Informationen liefern, die auf Missstände hinweisen. Eine Veröffentlichung erfolgt gemäß den hohen journalistischen Standards, für die Heise steht.

  3. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  4. l+f: Interpol sucht sächsischen Innenminister – gewissermaßen

    lost+found: Was von der Woche übrig blieb

    Warum hat Interpol den Politiker Markus Ulbig auf dem Kieker?

  1. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  2. c't uplink 13.1: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    c't uplink 13.0: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    Wie sicher ist Android und was sollten Nutzer beachten? Darüber sprechen wir in der neuen Folge des Podcasts aus Nerdistan. Außerdem klären wir über die Linux-Universalpakete von Flatpak und Snap auf, diskutieren einen mysteriösen Stern und No Man's Sky.

  3. Software zur aktuellen Ausgabe

    Software zur aktuellen Ausgabe

    Hier sammeln wir die Links auf Downloads zur jeweils aktuellen Ausgabe von c't

  1. Android N ist da: Google verteilt Android 7.0 Nougat

    Android N ist da: Google verteilt Android 7.0 Nougat

    Google hat die nächste Android-Version veröffentlicht und für die Geräte der eigenen Nexus- und Pixel-Baureihen bereitgestellt. Die übrigen Hersteller dürften aber wie bisher ein paar Monate für Updates benötigen, wenn sie überhaupt kommen.

  2. Fahrbericht: McLaren 540 C aus der neuen „Sports Series“

    McLaren

    McLaren hat zwei Baureihen unterhalb des P1, also unterhalb der nun so genannten „Super Series“ bestehend aus diversen 650- und 675-Derivaten, die neue „Sports Series“ eingeführt. Nun steht für eine etwas breitere Masse mit dem 540 C endlich den Poor Man’s McLaren bereit

Anzeige