Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.527.223 Produkten

Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. Sicherheitslücke bei Lieferando.de

    Hacker

    Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

  2. Heise öffnet Enthüllungsplattform heise Tippgeber

    Heise startet Enthüllungsplattform heise Tippgeber

    Besonders sicher und auf Wunsch auch anonym können Whistleblower bei heise Tippgeber Informationen liefern, die auf Missstände hinweisen. Eine Veröffentlichung erfolgt gemäß den hohen journalistischen Standards, für die Heise steht.

  3. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  4. l+f: Interpol sucht sächsischen Innenminister – gewissermaßen

    lost+found: Was von der Woche übrig blieb

    Warum hat Interpol den Politiker Markus Ulbig auf dem Kieker?

  1. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  2. c't uplink 13.1: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    c't uplink 13.0: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    Wie sicher ist Android und was sollten Nutzer beachten? Darüber sprechen wir in der neuen Folge des Podcasts aus Nerdistan. Außerdem klären wir über die Linux-Universalpakete von Flatpak und Snap auf, diskutieren einen mysteriösen Stern und No Man's Sky.

  3. c't uplink 13.8: Handy-Datentrennung, günstige Gaming-Grafik, DDoS-Angriffe

    c't uplink 13.8:

    Diese Woche schafft der c't-Podcast den Spagat zwischen Arbeit und Vergnügen: Wir reden über Datenschutz auf dem Handy, kümmern uns aber auch Gaming-Grafik und FIFA 17.

  1. Klartext: Zweckehen im australischen Busch

    Klartext

    Beziehungen funktionieren manchmal nicht von Anfang an, sondern weil man daran arbeitet, mit sich Arrangieren und gemeinsamen Erlebnissen. Das funktioniert manchmal sogar bei Beziehungen aus Hass. Wie beim Renault Koleos

  2. Falsche Frequenz: Rauchmelder wecken Kinder nicht

    Dundee University: Rauchmelder wecken Kinder nicht

    27 von 34 Kindern sind in einem Test der Dundee University nicht aufgewacht, als der Rauchmelder vor einem Brand warnte. Jetzt möchte die Universität eine neue Entwicklung testen.

  3. Todesstoß: Forscher zerschmettern SHA-1

    Forscher zerschmettern SHA-1

    Totgesagte sterben manchmal auch schneller. In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.

  4. Erster HFR-Film auf Ultra HD Blu-ray: Ang Lees irre Videotour

    Erster HFR-Film auf Ultra HD Blu-ray: Ang Lees irre Videotour

    In den USA hat Sony Pictures den ersten Spielfilm mit erhöhter Bildwiederholrate (High Frame Rate, HFR) auf UHD Blu-ray veröffentlicht. Wir haben uns "Billy Lynn’s Long Halftime Walk" angeschaut.

Anzeige