Online-Banking und -einkaufen? Ohne mich!

Eingestellt am 30. Oktober 2006 um 17:42 Uhr » Sicherheit Kommentar

Nachdem ich bereits im August auf die Gefahren des Phishings hingewiesen habe, berichtet heise heute über den neuen „Phishmarkt“, der einige sehr schöne Demonstrationen von Schwachstellen bei Banken, Online-Händlern und Behörden feilbietet. Angesichts des mangelnden Sicherheitsbewusstseins der Betroffenen kann nur zum Verzicht geraten werden, d.h. Meiden der Betroffenen, um den Verantwortlichen deutlich zu machen, dass dem Kunden das Thema Sicherheit nicht gleichgültig ist. Oder man macht es wie ich: Man verzichtet gleich ganz auf Online-Banking und -einkaufen und geht damit erst gar kein Sicherheitsrisiko ein.

Cross-Site Scripting als Problem

Interessant und gleichermaßen erschreckend ist, wieviele Banken und große Handelshäuser von gravierenden Sicherheitslücken betroffen sind, wobei es zu einigen Seiten keine öffentlichen Demos gibt, weil diese Angreifern zu deutlich die Schwachstellen offenbarten und direkt Hinweise zum „abfishen“ von Kontodaten gäben. Ich denke, dass sich jeder Kunde glücklich schätzen kann, der mit diesen Unternehmen nichts am Hut hat. Wie der „Phishmarkt“ zeigt, ist es dabei kein großes Problem, eine Seite vor so genanntem Cross-Site Scripting (XSS) zu sichern. Kurz zur Erläuterung: XSS bedeutet, dass es möglich ist, in eine fremde Seite eigenen Code einzuschleusen und dort zur Ausführung zu bringen. Angrifssziele können dabei der Kunde als auch die aufgerufene Seite sein. Sobald man einen Link angeklickt hat, durch den so eingeschleuster code ausgeführt wird, ist es bereits zu spät, noch Gegenmaßnahmen einzuleiten oder sich zu schützen, weil dann das Unheil bereits einen Lauf genommen hat.

Gar kein neues Problem

Interessant und gleichermaßen erschreckend ist, wieviele Banken und große Handelshäuser von gravierenden Sicherheitslücken betroffen sind, die es in ihrer Art seit dem Bestehen der Technologie Common Gateway Interface (CGI) gibt, d.h. seitdem Webserver dynamische Inhalte verarbeiten. Da diese Technologie seit über zehn Jahren existiert, sollte man den Verantwortlichen (Programmierern) unterstellen, dass sie wissen, wie man mit externen Daten umgeht. Tatsächliche XSS-Lücken zeigen allerdings, dass entweder gar kein Sicherheitsbewustsein vorhanden ist oder mit einer schon fast kindlichen Naivität den Nutzern (sowohl ehrlichen als auch kreativen und bösen) programmiert wird.

Reaktionen

Aktionen wie der „Phishmarkt“ sind natürlich zu begrüßen, auch wenn es sich dabei wohl leider nur um Einzelfälle handeln dürfte und viele vergleichbare Sicherheitsprobleme unentdeckt bleiben. In einem Beitrag im heise-Forum wurde dazu die Vermutung geäußert, dass der unmittelbare Schade für die Banken gering ist – abgesehen vom Imageverlust. Den realen Vermögensverlust muss hingegen der Kunde beklagen. Allerdings zeigte sich im Laufe des heutigen Tages, dass einige Banken bereit sind, ernsthafte Konsequenzen zu ziehen und die Sicherheitslücken endlich zu schließen, nachdem das Image schon reichlich lädiert wurde. Dieser Punkt geht also im Namen der Kunden an das „EOF Project – Electronical Ordered Freedom“, welches den „Phishmarkt“ betreibt und von denen auch obige Beispiel-Liste stammt. Allerdings scheint das Schließen der Lücke nicht immer zu funktionieren.

Fazit

Online-Banking und -Shopping könnten praktische Sachen sein, machten die Unternehmen ihre Hausaufgaben und zeigten sich nicht lernresistent gegenüber sicherem Programmieren. Obwohl es für den Kunden nur schwierig zu erkennen ist, wem er vertrauen kann, muss er trotzdem die Ohren und Augen offen halten und im Zweifelsfalle den computer- und sicherheitstechnisch versierten Kumpel fragen. Aktionen wie der „Phishmarkt“ sind weiterhin nützliche Orientierungshilfen für ihn. So vorsichtig, wie er bei Geldautomaten im Freien ist, muss er auch mit angeblichen Links zur Bank umgehen.