Druckerhöhung
28.01.2011
Offenbar haben die Banken den Schuss immer noch nicht gehört und schludern weiter bei der Sicherheit ihrer Webauftritte. Auch beim zweiten Sicherheitstest der anfälligen Banken fanden sich bei jeder einzelnen weitere Lücken. Der Leidensdruck ist für die Banken jedoch gering; letzlich gefährden etwa die weit verbreiteten Cross Site Scripting Lücken nicht die eigene Sicherheit sondern die der Kunden. Webauftritte sind für Kunden aber wie Geschäftsräume: Auch dort erwartet man beim Betreten eigentlich nicht, von Kriminellen hinters Licht geführt zu werden. Kunden können zwar immer mit den Füßen abstimmen und die Bank wechseln, da aber in diesem Fall so viele Banken betroffen sind, fällt das schwer. Zeit also, dass sich eine höhere Stelle des Problems annimmt.
Als erstes fällt mir der Zentrale Kreditaussschuss (ZKA) ein, der sonst als Interessenvertretung der Kreditwirtschaft für klare und zumeist sichere Standards wie HBCI sorgt und etwa bei der Kartentechnik Herstellern erst nach einer quälenden Testprozedur eine Zulassung erteilt. Solche Standards und Tests fehlen offenbar bei der Gestaltung von Webauftritten der Banken, obwohl mittlerweile jeder zweite Kunde regelmäßig Online-Banking nutzt.
Warum schreibt das ZKA nicht einen halbjährlichen Test der Web-Auftritte durch einen zertifizierten Gutachter vor, dessen Prüfungsergebnisse auf der Site offengelegt werden müssen? Das schlägt gleich zwei Fliegen mit einer Klappe: Zum einen motiviert es Banken, sich in Bezug auf Sicherheit weniger Blößen zu geben. Zum Anderen dürfte sich auch bei den Testern die Spreu vom Weizen trennen – etwa wenn ein Schüler Lücken in der gerade als sicher getesteten Börsen-App findet.
Richtig Dampf machen könnte vielleicht auch unsere umtriebige Verbraucherschutzministerin. Nach der Bildverpixelung bei Google Street und Radiergummis im Internet könnte Ilse Aigner sich endlich eines Themas annehmen, bei der ihr auch die Experten nicht widersprechen. Dabei bekommt sie mit Sicherheit sogar Schützenhilfe vom Innenminister, der erst kürzlich wieder mehr Schutz beim Online-Banking und beim Abheben am Geldautomaten (Skimming) forderte.
Sollte das alles nicht fruchten: Worauf Banken immer schnell und allergisch reagieren, ist schlechte Publicity in den Medien. Damit wird letztlich der Kunde zum Korrektiv, der Lücken aufdeckt und an die Presse meldet. Das führt zwar zunächst nur zu punktuellen Korrekturen, aber es mehren sich die Anzeichen, dass Banken auch ihre Prozesse zur Qualitätssicherung überdenken. Schau'n mer mal ...
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
