Online-Banking 16-Jähriger findet 17 Banken-Sicherheitslücken

Ein 16-jähriger Schüler hat zwei Tage gebraucht, um 17 Banken ernsthafte Sicherheitslücken nachzuweisen. Das Computermagazin "c't" berichtet in seiner aktuellen Aufgabe über die teils tatsächlich kritischen Probleme - und über die mangelnde Bereitschaft mancher Bankhäuser, schnell zu reagieren.

Online-Banking: Sicherheitslücken in vielen Angeboten
dapd

Online-Banking: Sicherheitslücken in vielen Angeboten


Hannover - Bei vier von fünf untersuchten Banken fand der Schüler Sicherheitslücken, die eine Manipulation im Browser bei der Nutzung von Online-Banking ermöglichen. "Erstaunlich war auch die Reaktion der Banken", sagt "c't"-Redakteur Jürgen Schmidt. "Es war gar nicht so einfach, die richtigen Ansprechpartner für diese Probleme zu finden." Trauriger Tiefpunkt sei die Deutsche Bank gewesen, bei der über zwei Wochen mehrere Anläufe über verschiedene Kanäle ins Leere gelaufen seien. Positiv sei dagegen die Postbank aufgefallen, die innerhalb weniger Stunden reagiert und das Loch noch am selben Tag zumindest provisorisch geschlossen habe.

Fairerweise, so die "c't", müsse man festhalten, dass die gemeldeten Probleme der Webseiten nicht geeignet seien, direkt Daten auf den Servern der Banken zu kompromittieren. Ein Einbruch in deren Systeme sei damit nicht möglich gewesen. Dennoch seien sich Sicherheitsexperten einig, dass sogenannte Cross-Site-Scripting-Lücken keineswegs ein Kavaliersdelikt darstellten.

Die Cross-Site-Scripting-Technik funktioniert so: Dabei wird in einen Link zu einer Bankenseite - der etwa per E-Mail verschickt werden könnte - ein eigener Softwarecode eingebettet. Die Systeme der Banken sollten diesen eingeschmuggelten Code eigentlich erkennen und unschädlich machen, doch das passiert augenscheinlich allzu oft nicht. Die aus anderer Quelle nachgeladene Software kann dann aktiv werden und beispielsweise Passwort-Eingaben aufzeichnen. In der als vertrauenswürdig wahrgenommenen Umgebung der echten Banken-Seite können so heimlich nicht vorgesehene Aktionen durchgeführt werden - eine Gefahr, vor der sich die Entwickler der Banken-Software schützen könnten.

Zum Teil missachten die Banken tatsächlich elementare Sicherheitsrichtlinien, so die "c't". Etwa wenn auf derselben Domain für das Online-Banking zusätzliche, nicht notwendige Dienste wie Kursabfragen liefen. Neue Dienste und Service-Leistungen auf Webseiten erhöhen grundsätzlich das Risiko, dass neue Sicherheitslücken entstehen. "Statt schon während der Entwicklungsphase vorbeugend einzugreifen, müssen die Security-Teams viel zu oft nachträglich Löcher stopfen", kritisiert "c't"-Experte Schmidt.

cis

Mehr zum Thema


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.