"Die UBS ist nicht ganz dicht" titelt der 'Beobachter' heute keck. Es geht in der Story. Bei den meisten der Lücken handelt sich um Verletzbarkeiten durch "Cross Site Scripting" (XSS), respektive die Einschleusung von externem Inhalt in eine Webseite über ein Dialogfeld. Potentiell gefährllich sind solche Lücken, weil man einem Benützer eine "echte" Seite vorgaukeln kann. Man muss den Text aber ziemlich genau lesen, um herauszufinden, dass die entdeckten und teilweise geschlossenen Lücken sich alle auf Webseiten von UBS ausserhalb der Schweiz befinden.

Der Beobachter bretzelt die Sache dann ziemlich auf. Das Beispiel zeige, "wie einfach man Bankkunden abzocken kann", wird ein Sicherheitsexperte zitiert. Die UBS hingegen beharrt in einem Statement darauf, dass alle XSS-Risiken beseitigt seien und das UBS e-banking-Kunden gegen jegliches Phishing (Identitätsdiebstahl) geschützt seien.

Soweit so gut. Dass "Cross Site Scripting" extrem schwierig und nur bei grösster Sorgfalt mit 100-prozentiger Sicherheit verhindert werden kann, ist bekannt. Ebenso, dass der Mega-Konzern UBS weltweit Abertausende von Webseiten betreibt.

Doch interessant scheinen uns die Vorgänge zwischen dem Security-Experten und Blogger Stöckli und der Grossbank. Stöckli, der "als Hobby", wie er sagt, auch eine Security-Firma betreibt, meldete im Dezember gewisse Lücken auf einer australischen Webseite der Bank. Diese bedankte sich und stopfte die Löcher, Stöckli veröffentlichte seinen Fund auf seinem Weblog. Doch er suchte und fand im Januar weitere Lücken, meldete diese wieder - bis es der Bank offenbar zu bunt wurde. Man wolle die Korrespondenz "hiermit abschliessen", beschied UBS dem Security-Spezialisten.

Dieser ging dann offenbar mit der Story zum Beobachter und schreibt nun in seinem Internet-Tagebuch: "Leider gibt es noch viele weitere Sicherheitslücken (ca. 30!) auf den UBS Seiten. Kostenlos werde ich mich aber in Zukunft nicht nach diesen auf die Suche machen."

Kaum haben wir obigen Text veröffentlicht, meldete sich auch schon Peter Stöckli. Er hat den oben zitierten Satz aus seinem Blog gestrichen, da er falsch verstanden werden kann. Natürlich wisse er nicht, wieviele Sicherheitslücken es auf den weltweiten UBS-Seiten gibt, aber er vermutet, dass es "noch viele weitere sind."

Ausserdem stellt Stöckli klar, dass nicht er mit der Geschichte zum Beobachter gegangen ist, sondern dass die Zeitschrift die Story selbst auf seinem Blog entdeckte. Zu seiner Motivation, auf weltweiten UBS-Seiten nach Sicherheitslücken zu suchen, sagt Stöckli: "Ich habe das erste Loch per Zufall entdeckt. Als ich dann weitere Probleme mit extrem wenig Zeitaufwand fand, machte mich das stutzig. Im Grunde genommen geht es mir um die Frage, wieviele Sicherheitslücken es für eine Grossfirma wie UBS erträgt." (Christoph Hugenschmidt)