Gefährliche Designfehler bei Online-Banking-Seiten

24. Juli 2008, 12:13
  • rechenzentrum
  • studie
image

Eine Studie findet viele Konzeptionsfehler im Webauftritt von Banken.

Eine Studie findet viele Konzeptionsfehler im Webauftritt von Banken.
Über drei Viertel aller Bank-Webseiten, zumindest in den USA, haben Designfehler, die von Cyberkriminellen zum Schaden der Bankkunden ausgenutzt werden können. Zu diesem Ergebnis ist eine Studie von Wissenschaftlern der University of Michigan gekommen, für die Webseiten von 214 US-Finanzinstituten untersucht wurden.
Verbreitete Probleme sind die Integration gesicherter Log-in-Boxen auf unverschlüsselten Seiten und Kontakt- oder Sicherheitsinformationen auf nicht gesicherten Seiten. Obwohl die Studie nur US-Institute umfasst, sollten auch europäische Banken beziehungsweise Nutzer auf der Hut sein. "Bei einer schnellen Stichprobe habe ich die selben Designfehler auch bei deutschen und britischen Banken geortet", betont Atul Prakash, Professor am Institut für Elektrotechnik und Computerwissenschaften der University of Michigan und Leiter des Studien-Teams, gegenüber 'pressetext'.
"Bei den Fehlern, die wir betrachten, handelt es sich eben nicht um Schwachstellen in Browsern oder Betriebssystemen, die mit einem Patch behoben werden können", betont Prakash. "Zu unserer Überraschung waren vielmehr Designfehler im Webauftritt, welche die Sicherheit gefährden können, weit verbreitet", meint Prakash. Derartige Fehler in Webseiten würden auch sicherheitsbewussten Nutzern Probleme bei der Einschätzung der Sicherheitssituation bereiten. Zwar seien die Daten für die Studie 2006 gesammelt worden und einige Institute hätten inzwischen Fortschritte gemacht, doch gäbe es noch viel Spielraum für Verbesserungen.
Die häufigsten Fehler
Das häufigste Problem, das der Studie zufolge bei 55 Prozent der US-Banken auftritt, ist das Platzieren von Kontakt- oder Sicherheitsinformationen auf nicht gesicherten Webseiten. "Ein Hacker könnte User relativ leicht zu einer gefälschten Webseite umleiten", meint Prakash. Diese könnte Nutzer dann mit gefälschten Informationen zur Herausgabe von wichtigen Daten verleiten. Entsprechende Seiten mit SSL zu verschlüsseln, würde Abhilfe schaffen.
Fast die Hälfte der Institute hatte gesicherte Log-in-Boxen in nicht gesicherte Webseiten integriert. Das Problem dabei ist, dass für Nutzer nicht wirklich erkennbar ist, ob die Box das sichere Original oder eine Fälschung ist. Speziell wenn User drahtlos zugreifen bestünde das Risiko, dass Angreifer eine falsche Box einschleusen und somit an die Log-in-Daten eines Nutzers kommen könnten. Auch hier sei als erste Lösung ein Absichern der kompletten Seite per SSL wünschenswert, so die Forscher. "Dieses Problem habe ich auch bei der ersten britischen Bank gesehen, die ich überprüft habe", so Parkash zu 'pressetext'. Bei einer grossen deutschen Bank wiederum ist er auf eine unsichere Kontaktseite gestossen.
Ein weiteres Sicherheitsrisiko, das 30 Prozent der untersuchten Webseiten betraf, sind automatische Umleitungen auf Seiten ausserhalb der Domain einer Bank. Das mache es schwer für Nutzer zu bewerten, ob der neuen Seite wirklich zu vertrauen ist. Eine Vorwarnung sei daher unverzichtbar. Bei 28 Prozent der Bank-Seiten gab es Probleme mit der Sicherheit von User-IDs oder Passwörtern. Das umfasst leicht zu eruierende Sozialversicherungsnummern (ein US-Problem) aber auch E-Mail-Adressen als ID ebenso wie unzureichende Informationen zu sicheren Passwörtern und das Zulassen schwacher Passwörter (Beides generelle Probleme). (pte)

Loading

Mehr zum Thema

image

Studien zeigen Trägheit bei der Digitalisierung in der Schweiz

Die neuen Technologien werden zwar als Chance verstanden, aber Menschen haben Mühe, beim digitalen Fortschritt mitzuhalten.

publiziert am 4.10.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022 1
image

Schweiz: Wettbewerbsfähigkeit top, E-Government flop

In der aktuellen IMD-Studie steigt die Schweiz in Sachen digitale Wettbewerbsfähigkeit in die Top 5 auf. Dahingegen schwächelt sie im Bereich E-Government.

publiziert am 29.9.2022 1
image

Schweizer Anbieter sind zufrieden mit ihren Sourcing-Partnern

IT-Dienstleister und Cloud-Provider erhalten in einer Befragung gute Noten. Für Anwender herausfordernd ist der Wechsel der Cloud-Plattform.

publiziert am 28.9.2022