Cross-Site Scripting

16-Jähriger deckt Sicherheitslücke bei Banken auf

11.10.2010
Ein 16-Jähriger hat Sicherheitslücken in den Online-Auftritten von 17 Banken aufgedeckt.

Dafür habe der Schüler lediglich zwei Tage gebraucht, heißt es in der aktuellen Ausgabe des in Hannover erscheinenden Computermagazins "c't". Bei vier von fünf Banken habe der 16-Jährige Lücken entdeckt, die eine Manipulation beim Online-Banking ermöglicht hätten.

"c't": Die Postbank beseitigte die XSS-Schwachstelle auf ihrer Online-Banking-Seite am schnellsten.
"c't": Die Postbank beseitigte die XSS-Schwachstelle auf ihrer Online-Banking-Seite am schnellsten.

Die gemeldeten Probleme der Webseiten betrafen das so genannte "Cross-Site Scripting" (XSS), mit dem man im Browser schadhaften Code von einer anderen Webseite laden kann. Die Computer-Zeitschrift betonte, dass die Lücken nicht geeignet waren, direkt Daten auf den Servern der Banken zu kompromittieren. "Ein Einbruch in deren Systeme wäre damit nicht möglich gewesen." Dennoch würden die Lücken von Experten als gravierend eingeschätzt.

Nach einem Hinweis der "c't" wurden die Lücken mittlerweile bei allen betroffenen Sites geschlossen. Einige Banken hätten jedoch mehr als zwei Wochen gebraucht, ehe die Lücken geschlossen wurden. Lediglich die Postbank habe es geschafft, innerhalb weniger Stunden zu reagieren und das Leck zumindest provisorisch zu schließen. (dpa/tc)