CHIP deckt auf: Unglaubliche Sicherheitslücken bei Online-Banken

(openPR) München, 8. Januar 2007. Sie ist die erfolgreichste Krimiserie der Welt und begeistert auch in Deutschland Millionen von Fans: die amerikanische TV-Produktion CSI („Crime Scene Investigation“), in der Spezialermittler der Polizei Beweise und Spuren an Tatorten sichern. Einen wichtigen Schauplatz von Verbrechen klammern die TV-Forensiker aber aus: das Internet. Das Computermagazin CHIP nimmt sich dieses Themas an und beweist mit der monatlich erscheinenden Serie „CSI: Internet“, welch dramatische Ausmaße die reale Online-Kriminalität angenommen hat. Zum Auftakt präsentiert das Magazin das spektakuläre Ergebnis einer aufwändigen Recherche: Eine gefährliche Sicherheitslücke in verblüffend vielen Websites dient Hackern als Einfallstor für ihre Angriffe. Mit einem einfachen Trick können sie dann sicherheits-relevante Daten wie PIN- und TAN-Nummern fürs Online-Banking erbeuten.

Laut Valentin Pletzer, CHIP-Redakteur und Sicherheitsexperte, verschaffen sich gewiefte Hacker durch so genanntes Cross-site-scripting (XSS) Zugang zu zahllosen Websites, die nicht optimal gepflegt werden. Das geht vergleichsweise einfach: zum Beispiel durch Eintippen eines Javascripts in das Eingabefeld einer Suchfunktion auf der Site. Pletzer: „Wenn es der Programmierer der Website versäumt hat, die Benutzer-Eingabe zu filtern, steht die Tür für Attacken sperrangelweit offen. Es ist dann ein Kinderspiel, Seiten von Online-Banken nahezu perfekt zu fälschen und ahnungslose Kunden dorthin zu lotsen. Gegen solche XSS-Angriffe ist jeder Phishing-Filter machtlos.“

Für sicheres Surfen kann also im Prinzip nur einer sorgen: der für die jeweilige Internetseite zuständige Webmaster. Er muss sämtliche Eingabeformulare auf seiner Site vor Manipulationen schützen. Im Idealfall heißt das: Bis auf Buchstaben und Zahlen sind alle Zeichen tabu. Denn Sonderzeichen wie etwa die Spitzklammern intrepretiert der Browser als Programmcode – und führt das möglicherweise gefährliche Javascript aus.

CHIP-Redakteur Pletzer hat testweise die Webseiten mehrerer namhafter Banken gehackt. Selbst der Online-Auftritt des TÜV Süd fiel ihm für Testzwecke zum Opfer. Allerdings reagierte der TÜV, der selbst Sicherheitszertifikate für Websites ausstellt, umgehend auf einen entsprechenden CHIP-Hinweis und schloss die Sicherheitslücke.
Für seine Recherchen nutzte Pletzer unter anderem den „Chorizo Security Scanner“ ein Analyse-Tool der Sicherheitsfirma Mayflower. Jeder Betreiber einer Homepage kann sich bei Mayflower kostenlos registrieren lassen und dann mit deren Spezial-Software seine Site scannen (https://chorizo-scanner.com). Nach Auskunft von Johann-Peter Hartmann, dem Geschäftsführer von Mayflower, sind XSS-Lücken in Websites fast schon die Regel: „Man glaubt gar nicht, wer alles betroffen ist.“

Der komplette Artikel erscheint in der aktuellen CHIP 2/2007, die seit 5. Januar im
Handel ist.

Über CHIP
CHIP, das Magazin für die digitale Welt, bietet kritisch kompetente Informationen über technische Entwicklungen und stellt die wirtschaftlichen und gesellschaftlichen Veränderungen in Folge der Digitalisierung dar. CHIP erreicht 1,63 Millionen Leser pro Ausgabe und gehört damit zu den Spitzentiteln der IT- und Kommunikationsbranche. Das Computermagazin ist nicht nur in Deutschland erfolgreich: CHIP ist eine internationale Marke und derzeit in 17 Ländern Europas und Asiens vertreten. In vielen dieser Länder ist CHIP Markt- oder Meinungsführer.

Bei Rückfragen wenden Sie sich bitte an:

Vogel Burda Communications GmbH
Poccistr. 11
80336 München

Ihre Ansprechpartnerin:
Judith Berkemeyer
Redaktion CHIP
Tel.: 0 89/7 46 42 – 369
Fax.: 0 89/7 46 42 – 274
e-Mail:
www.chip.de

Diese und weitere Presseinformationen von CHIP können Sie unter www.chip.de/vbc abrufen.

Vogel Burda Communications GmbH, München