Die nächste Ausgabe des c't magazins berichtet, dass der 16-jährige Schüler Armin Razmdjou auf den Web-Seiten von 17 Banken Sicherheitslücken entdeckt hat. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Probleme, die eine besonders raffinierte Form des Phishings ermöglichen.

Sicherheitslücken bei Banken


Bilderstrecke, 17 Bilder



Er habe sich gewundert, dass heise Security bis vor etwa zwei Jahren intensiv über derartige Probleme berichtet hatte – mittlerweile aber so gut wie nichts mehr darüber zu lesen sei, erklärte der Zwölftklässler. Aus Neugier hat er selbst eine Reihe von Bankenseiten untersucht. In etwa 4 von 5 Fällen wurde er fündig und entdeckte eine Sicherheitslücke. heise Security konnte alle Probleme nachvollziehen und benachrichtigte die betroffenen Banken. Alle gemeldeten Lücken sind mittlerweile geschlossen.

Die gefundenen Cross-Site-Scripting-Lücken sind nicht geeignet, direkt Daten auf den Servern der Banken zu kompromittieren. Ein Einbruch in deren Systeme wäre damit nicht möglich gewesen. Dennoch sind sich Sicherheitsexperten einig, dass Cross-Site-Scripting-Lücken keineswegs ein Kavaliersdelikt darstellen. Der heisec-Artikel Passwortklau für Dummies illustriert die davon ausgehende Gefahr sehr anschaulich. (ju)

Quelle: Heise.de