25.11.2005 16:17
Sicherheitslücken im Online-Banking zweier Kreditinstitute
Ein Fehler im Online-Banking der Berliner Volksbank ermöglichte Unbefugten Anfang der Woche den Blick in Bankkonten – die Anwendung beendete unter bestimmten Bedingungen die Session beim Schließen des Browser-Fensters oder -Tabs nicht.
Der erneute Klick auf den Anmelde-Link öffnete das gerade geschlossene Fenster dann ohne vorherige Passwort-Abfrage. Dadurch konnten Fremde Einblick in Kontobewegungen und -stände bekommen. Die Lücke ließ sich allerdings nur auf frei zugänglichen Rechnern, etwa in Internet-Cafes, ausnutzen, auf denen sich eine Person zuvor an ihr Konto angemeldet hatte. Da bei der Berliner Volksbank alle Transaktionen durch Eingabe einer TAN zu bestätigen sind, konnte diese Lücke alleine keine finanziellen Schäden bei Kunden verursachen. Die Bank behob den Fehler innerhalb von drei Tagen.
Das Online-Banking der Dresdner Bank ist von einem ähnlichen Bug befallen. Das Institut sieht sich jedoch nicht in der Lage, ihn noch in diesem Jahr zu beseitigen, da in Kürze ein Relaunch des Portals bevorstehe, der sämtliche Ressourcen binde. Außerdem handele es sich um ein theoretisches Sicherheitsproblem, das in der Praxis noch keine Rolle gespielt habe.
Grundsätzlich sollte man Online-Banking nicht auf Rechnern betreiben, zu denen andere Personen unkontrolliert Zugang haben. Statt das Browser-Fenster oder den Tab zu schließen, sollte man sich zudem immer ausdrücklich beim Online-Banking abmelden.
(ck)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
