Neues Netbanking hatte Schwachstelle

Vor wenigen Wochen starteten Erste Bank und Sparkassen eine neue Version ihres Netbanking-Dienstes. Diese war jedoch bis heute, Donnerstag, Früh nicht gegen so genanntes Cross Site Scripting gefeit. Mit für Laien unauffälligen Zusätzen zur Webadresse https://www.sparkasse.at/ war es möglich, beliebigen Text, frei wählbare Links und sogar Eingabefelder ober- oder unterhalb der echten Eingabefelder für Login und PIN anzuzeigen. Da die Originalseite modifiziert wurde, blieb dabei die Verschlüsselung erhalten. Auch ein Vergleich der Zertifikate hätte zu einem unbedenklichen Ergebnis geführt.

Einblicke in Konten oder gar deren Manipulation war damit nicht möglich. Aber ein Angreifer hätte unbedarfte User durch augenscheinlich von der Bank stammenden Text zum Aufruf eines Links verleiten können. Auf den damit aufgerufenen Webseiten hätten die Bankkunden dann zur Eingabe von PIN- oder sogar TAN-Codes verleitet werden können. Es ist aber nicht bekannt, dass das tatsächlich versucht worden wäre.

Sicherheitsexperten berichten, dass derartige Schwachstellen bei immer mehr Online-Banking-Sites in verschiedenen Ländern entdeckt werden. Eine brandneue Applikation sollte solche Probleme aber nicht aufweisen.

Chronologie einer Warnung. Ein Report-Leser (Name der Redaktion bekannt), der auch Kunde der Erste Bank Sparkassen Gruppe ist, hatte die Schwachstelle am 7. Dezember zufällig entdeckt und versuchte sofort, die Bank darauf aufmerksam zu machen. Gleichzeitig informierte er den Report. Das von unserem Leser an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! geschickte Mail kam jedoch am 11. Dezember als unzustellbar zurück. Nach seiner Erinnerung war die E-Mail-Adresse als Absender zahlreicher in der alten Netbanking-Version angezeigter Sicherheitsinformationen angegeben. Anstatt mit einem Achselzucken aufzugeben, forschte der Bankkunde auf der Website der Bank www.sparkasse.at nach einer anderen E-Mail-Adresse - vergebens. Schließlich suchte er im Whois-System von nic.at nach dem technischen Administrator der Domain und informierte diesen. Eine Antwort blieb aus.

Die Report-Redaktion fand am selben Tag unter www.netbanking.at ein anderes Impressum, welches eine E-Mail-Adresse (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!) enthält. Dorthin wurde die gleiche Information geschickt. Auch hier blieb eine Antwort aus.

Eine Woche keine Reaktion. Als eine Woche später, am Nachmittag des 18. Dezember, noch immer keine Reaktion vorlag, nahm die Report-Redaktion mit der Presseabteilung der Erste Bank Kontakt auf. Am nächsten Morgen kam Bewegung in die Sache. Nach kurzen bankinternen Recherchen gab die Erste Bank sofort Unzulänglichkeiten bei der Kommunikation zu. Das an den Domain-Administrator ergangene E-Mail war zwar umgehend an die zuständige Stelle weitergeleitet worden. Doch erst nach ausführlicher Prüfung sei drei Tage später, am 14. 12., eine Replik an den Kunden ergangen - die dieser nach eigenen Angaben nie erhalten hat.

Die notwendige Verbesserung der Netbanking-Website sei sofort veranlasst worden, würde jedoch noch bis zu den Morgenstunden des 21. Dezember dauern - von der Wahrnehmung des Hinweises durch das Kreditinstitut gerechnet also rund zehn Tage.

Die Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! hat laut Bank allerdings nie existiert. Sie sei lediglich von Betrügern als gefälschter Absender missbraucht worden. Ob sie, wie unser Leser angibt, im alten Netbanking von der Bank selbst angezeigt wurde, lässt sich heute nicht mehr klären.

Die Erste Bank gelobt Besserung bei den internen Abläufen und schnellere Antworten bei sicherheitsrelevanten Problemen. Die Telefonhotline nehme Meldungen rund um die Uhr unter 05 0100 entgegen. Für den wichtigen Hinweis sei man dem Kunden sehr dankbar. Dieser wartet nach wie vor auf eine direkte Antwort seiner Bank.