Sparkassen-Webseiten haben weiterhin Probleme mit der Sicherheit [Update]

Mehrere Sparkassen-Seiten weisen immer noch Schwachstellen auf, mit denen Phishern die Arbeit beim TAN-Klau erleichert wird.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

An Stelle der Warnung hätte ein Phisher dort nach PIN und TAN gefragt.

Bankenseiten weisen nach wie vor Schwachstellen auf: Der Internetauftritt sparkasse.de zeigte sich für Frame-Spoofing verwundbar, mit dem es möglich war, den im Internet Explorer dargestellten Inhalt zu manipulieren. Phisher hätten dies für ihre Zwecke missbrauchen können, um Bankkunden glauben zu lassen, eine angezeigte Abfrage von PIN und TAN stamme von der Bank.

Nach der Benachrichtigung durch heise Security wurde das Problem behoben, allerdings nutzten immer noch weitere Seiten Frames auf sparkasse.de, mit denen sich im Internet Explorer 6 Inhalte austauschen ließen. Dazu gehört unter anderem finanzen.sparkasse.de. Dort ist das Frame-Problem zwar mittlerweile auch behoben, indem der Frame nun keinen Namen mehr hat. Ganz sicher war man sich wohl aber nicht und hat folgenden Code in die Seite eingefügt:

if(window.opener && (navigator.appName == "Microsoft Internet Explorer" && 
(navigator.appVersion.search("MSIE 6.0") != -1 ||
navigator.appVersion.search("MSIE 5.") != -1)))
{
window.close();
}

Sofern die betroffene Seite im Internet Explorer 5 oder 6 über einen externen Link aufgerufen wird, schließt das Skript sie sofort wieder.

In einer Stellungnahme gegenüber c't-TV betonte der Deutsche Sparkassen- und Giroverband (DSGV), dass die Sicherheit erhöht wurde. Zudem sei man vom TÜV Rheinland zertifiziert, der regelmäßig die Sicherheit der Webseiten prüfe. Warum dieser allerdings einen seit Jahren bekannten systematischen Fehler in den sparkassen.de-Seiten übersah, blieb unbeantwortet. Vielmehr rät der DSGV seinen Kunden, doch auf die Sicherheitsmerkmale im Browser zu achten. Damit ließe sich Phishing verhindern.

Bei der Sparkasse Hannover lässt sich immerhin noch der Seiten-Frame austauschen.

Auch die Sparkasse Hannover weist derzeit auf ihren Seiten noch eine Frame-Spoofing-Lücke auf. Nicht zuletzt fand sich noch bis zum vergangenen Wochenende eine Cross-Site-Scripting-Lücke in den Seiten der Stadtsparkasse Düsseldorf (www.sskduesseldorf.de), mit der sich ebenfalls gefälschte Inhalte im Browser des Anwenders darstellen ließen.

Update
Die Frame-Spoofing-Lücke im Webauftritt der Sparkasse Hannover ist mittlerweile behoben.

Siehe dazu auch:

(dab)