Web-Anwendungen nicht vertrauenswürdig

Auch verschlüsselte Web-Anwendungen bergen ein großes Risiko für die Vertraulichkeit der übertragenen Daten und sogar für den Zugang zu persönlichen Konten selbst. Darauf hat der Münchner Sicherheitsdienstleister Secure Net hingewiesen und ebenso auf eine mehrmonatige Untersuchung von Web-Anwendungen deutscher Unternehmen. Neben E-Business-Portalen, Buchungssystemen und Online-Shops seien vor allem die Web-Dienste der Banken betroffen.
Kennt ein Hacker die Mail-Adresse einzelner Anwender eines solchen Web-Dienstes, könne mit einer präparierten Mail der Web-Browser auf dem System so manipuliert werden, dass ein Mitlesen des Datenverkehrs ermöglicht werde, heißt es bei Secure Net. Dazu sei nur ein Öffnen der betreffenden Mail erforderlich, im Browser werde dazu kein Bug ausgenutzt. Mit welchem Betriebssystem der Zielrechner läuft, sei unerheblich.

Der Bundesverband deutscher Banken sei bereits im Frühjahr über die mangelhafte Absicherung von Web-Anwendungen informiert worden, heißt es in einer Mitteilung von Secure Net. Bisher habe aber nach derzeitigem Kenntnisstand keines der Geldinstitute mit geeigneten Verbesserungen darauf reagiert. Anwender könnten allein durch eine Deaktivierung von Java-Script Manipulationen ausschließen – das aber wird von den meisten Online-Anwendungen für eine Benutzung vorausgesetzt. Für Bankgeschäfte empfiehlt Secure Net deshalb den Verzicht auf das reine Web-Interface und stattdessen den Einsatz von Clients, die das HBCI-Verfahren verwenden.