Ein 16-jähriger Schüler hat zwei Tage gebraucht, um 17 Banken ernsthafte Sicherheitslücken nachzuweisen. Die Redaktion des Computermagazins c't [2] konnte die Fälle ausnahmslos nachvollziehen, wie sie in der aktuellen Ausgabe 22/10 berichtet.
Bei vier von fünf untersuchten Banken fand der Schüler Sicherheitslücken, die eine Manipulation im Browser bei der Nutzung von Online-Banking ermöglichen.
"Erstaunlich war auch die Reaktion der Banken", findet c't-Redakteur Jürgen Schmidt. "Es war gar nicht so einfach, die richtigen Ansprechpartner für diese Probleme zu finden." Trauriger Tiefpunkt war die Deutsche Bank, bei der über zwei Wochen mehrere Anläufe über verschiedene Kanäle ins Leere liefen.
Positiv fiel die Postbank auf, die innerhalb weniger Stunden reagierte und das Loch noch am selben Tag zumindest provisorisch schloss.
Zum Teil missachten die Banken tatsächlich elementare Sicherheitsrichtlinien, schreibt c't. Etwa wenn auf derselben Domain für das Online-Banking zusätzliche, nicht notwendige Dienste wie Kursabfragen laufen.
Neue Dienste und Service-Leistungen auf Webseiten erhöhen grundsätzlich das Risiko, dass neue Sicherheitslücken entstehen. "Statt schon während der Entwicklungsphase vorbeugend einzugreifen, müssen die Security-Teams viel zu oft nachträglich Löcher stopfen", kritisiert c't-Experte Jürgen Schmidt.
Bei vier von fünf untersuchten Banken fand der Schüler Sicherheitslücken, die eine Manipulation im Browser bei der Nutzung von Online-Banking ermöglichen.
"Erstaunlich war auch die Reaktion der Banken", findet c't-Redakteur Jürgen Schmidt. "Es war gar nicht so einfach, die richtigen Ansprechpartner für diese Probleme zu finden." Trauriger Tiefpunkt war die Deutsche Bank, bei der über zwei Wochen mehrere Anläufe über verschiedene Kanäle ins Leere liefen.
Positiv fiel die Postbank auf, die innerhalb weniger Stunden reagierte und das Loch noch am selben Tag zumindest provisorisch schloss.
Zum Teil missachten die Banken tatsächlich elementare Sicherheitsrichtlinien, schreibt c't. Etwa wenn auf derselben Domain für das Online-Banking zusätzliche, nicht notwendige Dienste wie Kursabfragen laufen.
Neue Dienste und Service-Leistungen auf Webseiten erhöhen grundsätzlich das Risiko, dass neue Sicherheitslücken entstehen. "Statt schon während der Entwicklungsphase vorbeugend einzugreifen, müssen die Security-Teams viel zu oft nachträglich Löcher stopfen", kritisiert c't-Experte Jürgen Schmidt.
