weiterverdatet

Computerbild: Viele Sicherheitsmängel bei Online-Banking und -Shopping

Falsche Zertifikate, XSS-Lücken und ungünstige Formulare
Von

Im kommenden Heft (ab 04.01. am Kiosk) wird die Computerbild über zahlreiche Sicherheitslücken auf Banken- und Shop-Websites berichten. So konnten die Redakteure durch spezielle URLs den Inhalt der Seiten von Raiff- und Volksbanken verändern. Solche so genannten Cross-Site-Scripting-Lücken (kurz "XSS") können insbesondere von Phishern zur Tarnung genutzt werden: Da die URL wie eine legitime Bank-URL aussieht, ahnt man nicht, dass die Seite dennoch manipuliert wurde!

Fast schon skandalös ist, dass die nach Angaben von Computerbild sofort informierten Banken darin offenbar kein Problem sahen: "Wir empfehlen stets, die Banken-URL direkt in die Adresszeile des Browsers einzugeben", so der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken: "Damit sind solche Manipulationen nicht möglich." Diese Aussage stimmt zwar, doch manche Nutzer klicken eben doch auch auf externe Links auf Banken, und sollten sich dann dennoch darauf verlassen können, dass die Antwort zu 100% vom Bank-Server kommt und nicht auch noch Schadcode von demjenigen beinhaltet, der den Link gesetzt hat.

Noch kritischer - und wohl überwiegend bereits beseitigt - sind von der Computerbild entdeckte fehlende oder falsche Sicherheitszertifikate auf vielen Bankseiten. Zwar betrifft dieses wohl nur die normalen Bankportale mit Informationen zu Konditionen und Kursen, nicht die eigentlichen Onlinebanking-Seiten. Dennoch kann solche Schludrigkeit bei den Banken die User zur Nachlässigkeit beim Umgang mit Sicherheitszertifikaten bringen. Diese sind aber die einzige Garantie, dass der Nutzer mit dem richtigen Bankserver verbunden ist und nicht etwa mit einer betrügerischen Phishing-Site.

Vertrauliche Daten in der Autoergänzung

Nützlich ist die Funktion vieler Browser, beim Ausfüllen von Formularen die zuletzt an derselben oder ähnlicher Stelle in anderen Formularen eingegebenen Daten vorzuschlagen. Kritisch daran ist, dass die Browser hierzu Nutzereingaben speichern. Die entsprechenden Dateien können später von anderen Nutzern desselben Computers oder von Schadprogrammen ausgelesen werden. Besonders kritisch ist nach den Recherchen der Computerbild in diesem Zusammenhang der Firefox.

Gegen das Problem hilft, wenn Nutzer regelmäßig ihre persönlichen Daten löschen, insbesondere an jedem Sitzungsende, wenn sie auf fremden Rechnern oder im Internetcafé arbeiten. Da User das oft vergessen, können Shop-Programmierer zur Steigerung der Sicherheit beitragen, indem sie Eingabefelder für besonders kritische Daten wie die Kreditkarten-Sicherheitsziffern als Password-Feld deklarieren. Dann erfolgt die Eingabe verdeckt - ein zufälliger Blick auf den Monitor reicht also nicht zum Ausspionieren aus - und die gängigen Browser stellen eine Rückfrage, bevor sie die Daten speichern. Ebenso sollten die Firefox-Entwickler überlegen, die Auto-Vervollständigen-Funktion auf https-gesicherten Formularen im Default-Fall auszuschalten.