|  |
Online-Schlamperei bei Sparkassen muss nicht sein
"Sparkassen schlampen bei Online-Banking-Sicherheit" titelte Heise in einer viel beachteten Meldung zur technischen Sicherheit der Online-Portale deutscher Geldinstitute [1]. Dem Bericht zufolge weisen viele Webseiten von Sparkassen so triviale Fehler auf, "dass sie eigentlich bei jeder Sicherheitsüberprüfung der Seiten aufgefallen sein müssten."
Brian Chess, Chief Scientist bei Fortify Software, nimmt zu dieser Meldung folgendermaßen Stellung:
"Des einen Freud, des anderen Leid. Für Online-Betrüger, die sich mittels Phishing-Seiten in Besitz persönlicher Daten von Bankkunden bringen wollen, sind diese fehlerhaften Webseiten das sprichwörtliche 'gefundene Fressen'. Denn Angriffstechniken wie Cross-Site-Scripting und Frame Spoofing zählen zum kleinen Einmaleins der Phisher. Und die gefundenen Sicherheitslücken in den Sparkassenportalen ebnen den schnellen Weg zu Informationen wie Kontodaten, Kundennummern und Transaktionsnummern, die sich mit einiger krimineller Energie in erschwindeltes Geld umsetzen lassen.
Der Dumme dabei ist der Bankkunde. Es muss noch nicht einmal der vollzogene Diebstahl persönlicher Daten oder gar der illegale Zugriff aufs eigene Konto sein. Allein der Vertrauensverlust in das Online-Banking und die Unsicherheiten bei der Online-Abwicklung von Geldgeschäften wiegen schwer. Entsprechend finden sich auch die im Web aktiven Banken auf der Verliererseite. So befürchtet jeder dritte Teilnehmer an einer Umfrage des Informationssicherheits-Spezialisten SafeNet beim Online-Banking um die Vertraulichkeit der Daten [2]. Und misstrauische Kunden sind keine zufriedenen Kunden.
Dass bei der Programmierung komplexer Webanwendungen Fehler unterlaufen, ist normal. Hunderttausende von Codezeilen können nie fehlerfrei sein; unabhängig davon, wie talentiert ein Entwickler ist oder wie peinlich genau er arbeitet. Dass Sparkassen ihre mit sicherheitskritischen Mängeln behafteten Webseiten allerdings über Jahre betreiben, ohne diese zu überprüfen und zu korrigieren, darf und muss nicht sein. Wenn der Autor des Heise-Artikels feststellt, dass die jahrelange Diskussion um die Sicherheitsproblematik "... an den Sparkassen beziehungsweise deren Dienstleistern ... anscheinend spurlos vorbeigegangen" sei, zeugt dies von mangelndem Verantwortungsbewusstsein gegenüber den Kunden.
Denn es ist kein Geheimnis, dass Software-Tools bereitstehen, die Applikationen gründlich nach potenziellen Schwachstellen hin analysieren, die Fehler aufzeigen und eine schnelle Korrektur erlauben. Dies kann direkt bei der Erstellung einer Applikation erfolgen, es können aber auch bestehende Anwendungen im Nachhinein kontrolliert und 'wasserdicht gemacht' werden. Ein gutes Bespiel hierfür liefern unter anderem Softwarehersteller wie Oracle und Adobe, Organisation wie die US Air Force [3] oder auch große Online-Einzelhändler [4], die Software-Security-Produkte von Fortify einsetzen, um Anwendungen fehlerfrei und sicher zu gestalten. Selbst Marcus Ranum - der Erfinder der Proxy-Firewall - hat den originalen Quellcode seiner Firewall mittels Fortify Source Code Security Analyser (SCA) gescannt und getestet [5].
Kurzum: Fehler passieren, aber permanent vorhandene Fehler müssen und dürfen nicht sein. Unternehmen wie Sparkassen, die mit sensiblen Daten und mit dem Geld ihrer Kunden hantieren, sollten sich in die Pflicht genommen sehen, die technische Basis für diese Transaktionen auf dem höchstmöglichen Sicherheitsstandard anzubieten. Die Tools, dies zu realisieren, gibt es. Sie müssen nur eingesetzt werden." 30.05.2007, Fortify
Kommentare zu dieser News | | |
Weitere aktuelle Meldungen | | |
Meldungen aus anderen Themenbereichen | | |
| | | |
