Schwedischer Computerexperte demonstriert Lücken
Internet-Banking hat Sicherheitsschwächen

Weithin eingesetzte Sicherheitssoftware für das Internet-Bankgeschäft kann Computerexperten zufolge umgangen werden und bedeutet damit ein Risiko für die Kunden.

Reuters STOCKHOLM. Ein schwedischer Experte für Computersicherheit, der namentlich aber nicht genannt werden wollte, demonstrierte dies Reuters bei einem Test mit drei schwedischen Großbanken in Stockholm. Innerhalb von wenigen Minuten überwand er bei den Online-Angeboten die Sicherheitsbarrieren eines Web-Server-Programmes des US-Konzerns Microsoft Corp.

Der frühere Hacker der nun als Sicherheitsberater tätig ist, griff zwar nicht auf Konten zu, erläuterte aber, wie versteckte Befehle beim nächsten Zugriff des Kunden Geld auf ein anderes Konto verschieben könnten.

Die Angriffsmethode nutzte eine Kombination von Schwachpunkten, die Microsoft nur teilweise kontrollieren kann. Ein Großteil der Schuld falle jedoch den Netz-Administratoren der Banken zu, da sie die Software nicht richtig einrichteten, sagte der Experte.

Falsche Einstellungen und Programmschwächen

Microsoft räumte die möglichen Sicherheitslücken bei der Verwendung des Sicherheitsstandards SSL (Secure Socket Layer, Gesicherte Verbindungsebene) bereits vor einiger Zeit ein und arbeitet eigenen Angaben nach an einer Lösung. Das Problem sei aber nicht dramatisch, da mehrere Schwächen unter anderem in der Netzstruktur zusammenkommen müssten. Microsoft in Schweden dementierte, dass SSL auf die Reuters vorgeführte Art zu knacken sei. "Ich kann nicht einmal die theoretische Möglichkeit dafür sehen", sagte Mats Lindkvist, Sicherheitsexperte von Microsoft in Schweden.

Das Problem existiert offenbar nicht nur bei schwedischen Banken. Computerfachleute halten viele der großen internationalen Finanzhäuser für anfällig für solche Angriffe, da sie in der Mehrzahl das SSL-Protokoll verwenden. "Ein Angreifer könnte unsichtbar den Datenstrom des Opfers abfangen und mitprotokollieren, bevor er ihn an den wirklich sicheren Zielcomputer weiterleitet", sagte Sicherheitsberater Mike Benham, der als erster die Schwäche bei SSL veröffentlichte.

Auch der Mondflug galt lange als unmöglich

Auch Banken selbst halten ihre Sicherheitssysteme nicht für absolut wasserdicht. "Wenn der Mensch zum Mond fliegen kann, dann wird früher oder später auch irgendjemand die Sicherheitssysteme umgehen können", sagte Swedbank-Sprecher Jesper Berggren.

Lars-Olov Guttke von der schwedischen Deprotect hat im Auftrag einer Bank deren Sicherheitsnetz getestet und dabei mit versteckten Befehlen Millionen Dollar auf Testkonten verschoben, ohne dass die Bank dies bemerkte. Banken steckten zwar viel Energie in die Sicherheit der äußeren Zugänge, vernachlässigten aber die internen Systeme, sagte er. Auch gebe es insgesamt nur wenig Informationen über solche Sicherheitsprobleme. Unternehmen fürchteten schlechte Nachrichten und die Zusatzkosten, falls die Sicherheitsschwächen öffentlich bekannt würden. Bei der von ihm geprüften Bank seien die Beträge nur zu niedrig gewesen, um aufzufallen.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%