Dienstag, 15. Februar 2005

Banksoftware ausgehebelt und andere Computerkriminalität

FOCUS Online zur Panne bei der englischen Online-Bank Cahoot und anderen Unsicherheiten: Ein Sicherheits-Check offenbarte eine gefährliche Lücke ihres Web-Auftritts. Kunden konnten ungehindert auf Konten anderer Kunden zugreifen. Dazu mussten sie nur ihr eigenes Konto aufrufen und dann in der Adresszeile ihres Browsers einige Zeichen ändern. Die Manager der Bank sahen sich gezwungen, ihre Seiten für zehn Stunden vom Netz zu nehmen, um den Mangel zu beheben.

„Löchrig wie Schweizer Käse“

Der peinliche Lapsus von Cahoot steht symptomatisch für die mangelnde Sicherheit vieler Internet-Seiten. „Salopp formuliert kann man sagen: Viele Web-Anwendungen sind löchrig wie Schweizer Käse“, behauptet Sebastian Schreiber, Chef des Sicherheitsunternehmens Syss. Claudia Eckert, Leiterin des Fraunhofer-Instituts für Sichere Informations-Technologie, ist verärgert, „wie häufig sich Sicherheitslücken in Web-Seiten zeigen, obwohl die Schwachstellen bekannt sind und sich technisch gut schließen ließen“.

Allein die Top Ten der virtuellen Einfallstore, die das internationale Open Web Application Security Project (OWASP) auflistet, findet Eckert „erstaunlich oft“. Sicherheitsexperten warnen, dass Begriffe für Angriffsmethoden wie Session Riding oder Cross-Site Scripting bald zum alltäglichen Arbeitsvokabular von Gangstern gehören werden. Die Karriere dieser Angriffsmethoden könnte ähnlich wie die des so genannten Phishing – einem Kunstwort aus Passwort und Fishing (angeln) – verlaufen.

Methoden verfeinert

Mit enormem Einfallsreichtum versuchen Diebe immer wieder, Konten zu plündern. Über Phishing schnüffeln sie mit Hilfe von E-Mails und gefälschten Web-Seiten nach Zugangskennungen für Bankkonten oder nach Kreditkartennummern. Allein von Juli bis Dezember vergangenen Jahres stieg die Zahl dieser Attacken laut der internationalen Anti-Phishing Working Group (APWG) um 38 Prozent. „Die Phishing-Betrüger verfeinern ihre Methoden zusehends“, warnt Dave Brunswick, Sprecher APWG.

Nachlässige oder ahnungslose Programmierer liefern den Gaunern ideale Vorlagen. So lassen sich mit dem so genannten Cross-Site Scripting gefälschte Inhalte auf ungeschützte Web-Angebote schmuggeln. Dazu genügt bereits ein Eingabefeld in der Seite, beispielsweise eine Suchmaske. Fügt man statt eines herkömmlichen Suchbegriffs zusätzlich HTML-Code, die Programmiersprache für Internet-Seiten, in das Feld, kann jeder die Seite nahezu beliebig manipulieren. So lassen sich willkürlich Texte in Nachrichtenportale oder Abfragefelder in E-Commerce-Angebote einbauen. Daten, die Ahnungslose dort eintippen, landen umgehend als elektronische Post beim Betrüger. Besonders perfide an diesem Trick: Surfer können die Fälschung nicht erkennen.

In Auktionen mitbieten

Löchrige Schutzmechanismen sind laut Dave Brunswick auch dafür verantwortlich, dass „Phishing-Betrüger verstärkt digitale Spionage betreiben, um sich fremde Identitäten für Raubzüge und Einkäufe im Netz zu verschaffen“. So stehlen sie beispielsweise so genannte Cookies, kleine Dateien, die Web-Anbieter auf den Rechnern der Kunden installieren. Hat sich ein Surfer einmal identifiziert, erspart ihm die Minidatei während der gesamten Sitzung eine erneute Passwortabfrage.

Stibitzt ein Gauner dieses Cookie, kann er unter falscher Identität hemmungslos auf Shopping-Tour im Web gehen oder munter bei Internet-Auktionen mitbieten. Surfer können nicht beweisen, dass die Order gefälscht wurde. Session-Riding nennen Sicherheitsexperten diese neue Möglichkeit zum Web-Betrug. „Es funktioniert bei einer Vielzahl von verbreiteten namhaften Angeboten aus verschiedenen Branchen, zum Beispiel Auktionsplattformen, Web-Shops oder Software-Herstellern“, warnt Thomas Schreiber, Chef des Sicherheitsunternehmens Securenet. Zwar ist bisher kein Schaden durch diese neue Masche entstanden. Schreiber geht jedoch davon aus, „dass Kriminelle diese Lücke für ihre Machenschaften entdecken und ausnutzen werden“. Bundesinnenminister Otto Schily ermahnt deshalb Unternehmen, ihre Angebote besser zu sichern.

Um mehr Sicherheit bemühen

Die Gefahren haben Software-Hersteller und Web-Anbieter jetzt offenbar erkannt. So gelobten hochrangige Vertreter der IT-Wirtschaft, darunter Microsoft-Gründer Bill Gates, beim Start der Initiative „Deutschland sicher im Netz“ Ende Januar, sich mehr um Sicherheit im Web zu bemühen. „Es existieren eine Menge Bedrohungen im Netz, aber wir können ihnen begegnen“, gibt sich Gates optimistisch.

Wie das Beispiel eines Kosmetik-Shops beweist, wartet noch viel Arbeit auf Gates und Kollegen. Wer will, kann in dem Web-Laden Cremes und Püderchen beinahe zum Nulltarif einkaufen. Der Trick: Statt das ausgewählte Produkt per Klick in den Warenkorb zu legen, kopiert man lediglich dessen Link in die Adresszeile des Browsers. Dort erscheint unter anderem der Preis des Produkts. Dieser lässt sich nun beliebig ändern. Ruft man die so manipulierte Adresse auf, kostet der gewählte Artikel beispielsweise nur noch einen Cent.

Keine Kommentare: