Beobachter: UBS ignoriert Sicherheitslücken beim E-Banking
Zürich (ots)
Leichtes Spiel für Hacker: E-Banking-Webseiten der UBS weisen laut einem Bericht der Zeitschrift "Beobachter" zum Teil gravierende Sicherheitslücken auf. Die Grossbank weiss davon, ignoriert jedoch entsprechende Warnungen.
Die Sicherheitslücken betreffen UBS-Webseiten in verschiedenen Ländern, darunter auch Seiten, auf denen sich UBS-Kunden für den elektronischen Zahlungsverkehr einloggen. Dabei handelt es sich zum Teil um so genannte "Cross Site Scripting"-Lücken (XSS-Lücken), die es Internetkriminellen ermöglichen, anstelle der originalen UBS-Seiten gefälschte Seiten aufzuschalten, mit denen dann Kontodaten von UBS-Kunden ausspioniert werden können.
Entdeckt hat die Lücken ein IT-Spezialist aus Muri AG, der zwischen Mitte Dezember 2006 und Mitte Januar 2007 aus purem Interesse die Webseiten der UBS nach Lücken abgesucht hat. Er stiess dabei auf 14 Sicherheitslücken, die jeweils umgehend der Grossbank meldete. Sobald die digitalen Löcher im Sicherheitssystem gestopft waren, publizierte er dann seine Entdeckungen in seinem Weblog.
Recherchen der Zeitschrift "Beobachter" zeigen nun, dass die UBS die Warnungen teilweise ignoriert und auch die besonders heiklen XSS-Lücken nur zögerlich oder gar nicht schliesst. Fünf Sicherheitslücken, die der findige IT-Spezialist Anfang Januar gemeldet hatte, waren bis am 30. Januar noch nicht behoben. Stattdessen wurde ihm in einem Brief von den obersten Sicherheitsverantwortlichen der Bank beschieden, man habe für seine Hilfe "momentan keinen Bedarf" und wolle die Korrespondenz mit ihm "hiermit abschliessen".
Gegenüber dem "Beobachter" erklärte eine UBS-Sprecherin, die Bank sehe "kein Sicherheitsproblem", da ihre Kundschaft aufgrund technischer Vorkehrungen "gegen jegliches Phishing geschützt" seien.
Die aktuelle Beobachter-Ausgabe ist ab 2. Februar am Kiosk.
Kontakt:
Thomas Roth
Stv. Chefredaktor
Tel.: +41/43/444'52'06
Mobile: +41/76/382'37'31
Thomas Angeli
Redaktor
Tel.: +41/43/444'52'19