Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

Anzeige
  1. [Update] Ungepatchte SAP-Systeme angreifbar für Remote Code Execution

    Ungepatchte SAP-Systeme angreifbar für Remote Code Execution

    Wenn die im Rahmen des SAP Security Patch Day im März 2017 veröffentlichten Patches nicht umgehend eingespielt werden, droht die Kompromittierung zentraler Datenbestände, warnen SAP-Kenner.

  2. Ihr Geld wird smart – wie Fintechs die Finanzbranche aufmischen

    Ihr Geld wird smart – wie Fintechs die Finanzbranche aufmischen

    Immer mehr Startups drängen in den Finanzmarkt. c't stellt einige dieser Fintechs in der aktuellen Ausgabe vor. Außerdem erklären wir, wie Robo-Advisor arbeiten, was Smart Contracts mit Blockchains verbindet und was die neue Zahlungsdirektive PSD2 bringt.

  3. Verschlüsselung: heise online und Heise-Onlinedienste per HTTPS erreichbar

    Verschlüsselung: heise online und Heise-Onlinedienste per HTTPS erreichbar

    Heise Medien ermöglicht nun den verschlüsselten Zugriff auf ihre Online-Dienste mittels HTTPS. Eingeschlossen sind alle Seiten und alle üblichen Domains wie heise.de, ct.de oder ix.de. Damit werden etwa Zensur und Phishing-Angriffe erschwert.

  4. c't uplink 14.3: Das nächste Windows, Android Tuning-Apps und Broadwell-E übertakten

    c't uplink 14.3

    In der aktuellen Folge c't uplink sprechen wir über das nächste Windows und über Tools, die Android optimieren sollen. Außerdem haben wir die 10-Kern-Version von Intels Broadwell-E übertaktet.

  1. c't uplink 13.1: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    c't uplink 13.0: Android absichern, Flatpak und Snap für Linux, KIC 8462852

    Wie sicher ist Android und was sollten Nutzer beachten? Darüber sprechen wir in der neuen Folge des Podcasts aus Nerdistan. Außerdem klären wir über die Linux-Universalpakete von Flatpak und Snap auf, diskutieren einen mysteriösen Stern und No Man's Sky.

  2. Software zur aktuellen Ausgabe

    Software zur aktuellen Ausgabe

    Hier sammeln wir die Links auf Downloads zur jeweils aktuellen Ausgabe von c't

  3. c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    c't uplink 13.0: heise Tippgeber, HDMI-Sticks mit Windows 10, Samsung Galaxy Note 7

    Im aktuellen c't uplink stellen wir unsere Enthüllungsplattform heise Tippgeber vor und erklären, wie sie funktioniert. Außerdem haben wir Windows-10-Sticks getestet und einen ersten Blick auf das Samsung-Smartphone Galaxy Note 7 geworfen.

  1. WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung

    WLAN

    Sicherheitsforscher haben offenbar kritische Lücken im Sicherheitsstandard WPA2 entdeckt. Sie geben an, dass sich so Verbindungen belauschen lassen.

  2. Kilonova nachgewiesen: Forscher beobachten erstmals direkt Quelle von Gravitationswellen

    Kilonova

    Die größten Detektoren haben schon mehrmals Gravitationswellen als Zeugnisse extremster Ereignisse im All registriert. Nun konnten sie dank ihnen erstmals direkt die Verschmelzung zweier Neutronensterne beobachten. Für Astronomen beginnt eine neue Ära.

  3. Fahrbericht Kia Stinger GT

    "Wer soll das denn kaufen?", fragten die meisten Autofreunde, als sie Bilder von Kias Stinger sahen, denn die Bilder verrieten es nicht. Man muss ihn fahren, dann ist die Antwort glasklar: Freunde der Fahrdynamik

  4. Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Der erste Teil eines umfangreichen Updates für die Kryptogeldplatfform Ethereum ist offenbar erfolgreich über die Bühne gegangen. Zu den Änderungen gehört eine geringere Belohnung für Miner und die Verschiebung der "Difficulty Bomb".

Anzeige