Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Heise öffnet Enthüllungsplattform heise Tippgeber

    Heise startet Enthüllungsplattform heise Tippgeber

    Besonders sicher und auf Wunsch auch anonym können Whistleblower bei heise Tippgeber Informationen liefern, die auf Missstände hinweisen. Eine Veröffentlichung erfolgt gemäß den hohen journalistischen Standards, für die Heise steht.

  2. l+f: Interpol sucht sächsischen Innenminister – gewissermaßen

    lost+found: Was von der Woche übrig blieb

    Warum hat Interpol den Politiker Markus Ulbig auf dem Kieker?

  3. c't uplink 13.1: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    c't uplink 13.0: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    Wie sicher ist Android und was sollten Nutzer beachten? Darüber sprechen wir in der neuen Folge des Podcasts aus Nerdistan. Außerdem klären wir über die Linux-Universalpakete von Flatpak und Snap auf, diskutieren einen mysteriösen Stern und No Man's Sky.

  4. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  1. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  2. c't uplink 14.3: Das nächste Windows, Android Tuning-Apps und Broadwell-E übertakten

    c't uplink 14.3

    In der aktuellen Folge c't uplink sprechen wir über das nächste Windows und über Tools, die Android optimieren sollen. Außerdem haben wir die 10-Kern-Version von Intels Broadwell-E übertaktet.

  3. c't uplink 14.2: Sie wurden gehackt!, Surface Studio, neue Macbooks, Ubuntu 16.10

    c't uplink 14.2: Sie wurden gehackt!, Surface Studio, neue Macbooks, Ubuntu 16.10

    Milliarden Online-Accounts sind in Hackerkreisen und im Netz im Umlauf. Über die Folgen davon sprechen wir in c't uplink. Außerdem: Microsoft und Apple stellen neue Hardware vor und in Ubuntu 16.10 lässt sich jetzt eine neue Bedienoberfläche ausprobieren.

  1. Divinity: Original Sin 2 kommt am 14. September

    Divinity: Original Sin 2 kommt am 14. September

    Das Rollenspiel Divinity: Original Sin 2 kommt am 14. September auf den Markt. Die schon veröffentlichte Early-Access-Version wurde derweil um eine Tutorial-Region erweitert.

  2. Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Debian ohne systemd: Devuan Jessie 1.0.0 Stable erschienen

    Mit Devuan Jessie 1.0.0 Stable ist die erste LTS-Ausgabe des Debian-Forks ohne systemd erschienen. Sie richtet sich auch an Unternehmen, die direkt von Debian 7 oder 8 umsteigen können.

  3. Devuan: Jetzt solls los gehen

    Devuan: Jetzt solls los gehen

    Die Debian-Forker der "Veteran Unix Admin" wollen jetzt mit der Arbeit an ihrer Debian-Variante ohne Systemd richtig loslegen. Die erste installierbare Version soll Ende Januar fertig sein.

  4. Auch General Motors wegen Abgasbetrugs verklagt

    Auch General Motors wegen Abgasbetrugs verklagt

    Nur wenige Tage nach Razzien bei Daimler und einer Klage der US-Regierung gegen Fiat Chrysler eröffnen US-Dieselkunden ein Verfahren gegen General Motors. Der Hersteller weist die Vorwürfe entschieden zurück

Anzeige