von Robert Klatt •
Bei allen 33 untersuchen Banken wurden Sicherheitslücken gefunden. Auch der öffentliche Sektor schnitt mit 85 Prozent Sicherheitslücken nicht gut ab.
Der russische Sicherheitsanbieter Positive Technologies hat eine Studie zur Sicherheit von Bankwebseiten und Bankdiensten erstellt, die zum überraschenden Ergebnis gekommen ist, dass Banken und Finanzdienstleister besonders leicht von Hackern angegriffen werden können. Die Studie umfasst 33 verschiedene Webseiten und Dienste aus dem Finanzsektor. Die Forscher des Unternehmens fanden bei jeder untersuchen Webseite ein oder mehrere kritische Sicherheitslücken. Als sicher wurde während der Studie keine Webseite eingestuft.
Positive Technologies hat bei rund der Hälfte der untersuchten Webseiten entweder XML External Entity Bugs (XEE) oder andere Fehler gefunden, die es ermöglichen Daten zu lesen und zu bearbeiten. XEE-Bugs werden durch falsch konfigurierte XML Parser verursacht, die Daten mit einem externen Bezug verarbeiten. Es kann so vorkommen, dass sensible persönliche Daten an die Öffentlichkeit gelangen oder das Webseiten für DDoS-Angriffe missbraucht werden.
Laut den Forschern kann es im schlimmsten Fall sogar dazu kommen, dass Angreifer so weiteren Code auf die Server der Banken einschleusen, um so die vollständige Kontrolle über die Systeme zu erlangen. Da sie die Sicherheit der Bank vollständig umgangen werden kann, kann es zu großen Folgen für die Kunden der Bank kommen. Cross-Site-Scripting-Angriffe waren noch weiterverbreitet. Bei rund 80 Prozent der untersuchten Webseiten wurde diese Angriffsmöglichkeit entdeckt, die es erlaubt Schadcode auf Webseiten und Webanwendungen auszuführen.
Cross-Site-Scripting-Angriffe sind zum größten Teil allerdings nicht schwerwiegend. Zu bemängeln ist jedoch, dass diese Angriffsmöglichkeit leicht zu beheben ist und trotzdem so weit verbreitet ist. Hacker können sie nutzen, um das Aussehen einer Webseite zu modifizieren. Es kann so passieren, dass Nutzer vertrauliche Daten eingeben, da dann nicht bei der Bank sondern bei den Angreifern landen.
Aufgrund des kleinen Umfangs von nur 33 untersuchten Banken ist die Studie vermutlich nicht repräsentativ. Da jedoch 100 Prozent aller Banken angreifbar waren kann darauf geschlossen werden, dass vermutlich auch ein Großteil der anderen Banken Sicherheitslücken in ihren Webseiten und Webanwendungen haben. Die Namen der betroffenen Finanzunternehmen teilt Positive Technologies nicht mit.
Auch andere Bereiche schnitten in der Studie nicht wesentlich besser ab. Die Angebote des öffentlichen Sektors waren in 85 Prozent aller untersuchen Dienste und Webseiten angreifbar. Die Forscher erklärten, dass „ein Hacker solche Anfälligkeiten ausnutzen kann, um Cookies von Nutzern zu stehlen, Phishing-Angriffe zu starten oder die Computer von Nutzern mit Schadsoftware zu infizieren.“