Das größte Risiko steckt im fehlerhaften Zusammenspiel von Web-Frontends und oft betagten Backend-Anwendungen, meint Thomas Schreiber, Geschäftsführer des Münchner Sicherheitsunternehmens Securenet GmbH. Es sei ein Irrtum, anzunehmen, dass die Gefahren ausschließlich von unzureichenden Sicherheitsmaßnahmen an den Grenzen der Unternehmensnetze oder nicht gepatchter Software ausgingen.
Das Spektrum der Fehlerquellen ist breit, wie Schreiber weiß. Sie lassen sich mit Techniken wie dem schon seit längerem bekannten Cross-Site-Scripting (XSS) oder SQL-Injection ausnutzen (Erklärung siehe Kasten). Der Spezialist weist auf eine weitere Lücke hin, die sehr häufig übersehen werde: In zahlreichen Anwendungen sei das Session-Management fehlerhaft implementiert. "Dadurch kann sich ein Hacker in eine aktive Online-Banking-Sitzung einloggen, ohne dass der Kontobesitzer oder die Bank etwas merken." Zwar lassen sich ohne Transaktionsnummern keine Überweisungen ausführen, dafür aber alle möglichen Informationen über die finanziellen Aktivitäten des Opfers abrufen.
Ganz einfach ist es nicht, diese Lücke auszunutzen. So muss der Angreifer die Mail-Adresse des Opfers kennen, außerdem muss das Ziel in seinem E-Mail-Programm HTML-Anzeige und Javascript aktiviert haben. Das allerdings ist sehr häufig der Fall. Der Angreifer schickt seinem Opfer eine Mail, die beim Öffnen den Web-Browser manipuliert. Nun muss der Hacker genau abpassen, wann das Opfer sich das nächste Mal zum Online-Banking anmeldet. Das klingt kompliziert, ist für einen Hacker mit ausreichend krimineller Energie und etwas Ausdauer jedoch möglich, versichert Schreiber.
"Das Spektrum der Möglichkeiten, wie sich Lücken wie diese ausnutzen lassen, ist riesengroß", warnt der Experte, der dadurch "der Wirtschaftsspionage Tür und Tor geöffnet" sieht.
Eine einfache Lösung dieser Probleme gibt es nicht. Abhilfe kann jedoch ein so genannter Web-Shield schaffen: Dabei handelt es sich um eine spezielle Firewall, die Eingaben durch die Benutzer (zum Beispiel innerhalb von Web-Formularen) auf die korrekte Syntax und ihre Gültigkeit hin überprüfen, um Fehler zu vermeiden. Wichtige Web-Anwendungen sollten unbedingt durch entsprechende Lösungen geschützt werden.
Seit etwa einem Jahr versucht sein Unternehmen, auf die Problematik aufmerksam zu machen - bislang ohne großen Erfolg. So hat Securenet den Bundesverband deutscher Banken (BdB) kontaktiert, der die Informationen weitergeben wollte. Geschehen sei bislang jedoch nichts.
Das Problem existiert jedoch nicht nur im Bankenumfeld. Schreiber und sein Team haben eigenen Angaben zufolge "eine Vielzahl von namhaften Websites" getestet und die Sicherheitslücke entdeckt. Auch E-Business-Portale und Shopping-Anwendungen sollen betroffen sein.
Cross-Site-Scripting und SQL-Injection
Cross-Site-Scripting: Bei diesem Fehler benutzen Angreifer Web-Anwendungen, um bösartigen Code mit einem Link per Mail an ein Opfer zu verschicken. Klickt der ahnungslose Benutzer diesen daraufhin an, gelangt er scheinbar zu einer vertrauenswürdigen Site. In Wahrheit stammen jedoch nur Teile der ihm angezeigten Informationen von dieser, der Rest kommt von einem Server, den der Angreifer kontrolliert. Mit dieser Täuschung ist es möglich, Passwortinformationen zu ergaunern.
SQL-Injection: Bei diesem weit verbreiteten Sicherheitsproblem modifizieren Angreifer SQL-Befehle, mit denen Web-Anwendungen auf Datenbanken zugreifen, innerhalb der Adresszeile des Browsers. Dadurch ist es möglich, selbst über harmlose Applikationen Informationen einzusehen, die eigentlich nicht erreichbar sein sollten.