Kontoklau mit ActiveX ?

"Plusminus" zeigt, wie Hacker mit Microsoft's "ActiveX" Online-Konten manipulieren

31.01.1997, 16:10 (ahe)

Für Aufregung bei Nutzern von Online-Banking-Angeboten hat ein Beitrag des ARD-Wirtschaftsmagazins "Plusminus" gesorgt. In der am vergangenen Dienstag vom Mitteldeutschen Rundfunk (MDR) ausgestrahlten Sendung manipulierte ein Hacker mit Hilfe von Microsoft's Multimedia-Technologie "ActiveX" eine Online-Banking-Transaktion. In dem von "Plusminus" gezeigten Beispiel wurden von einem "fremden" Konto 20 Mark abgebucht.

Die manipulierte Transaktion wurde durch das Zusammenspiel von Microsoft Explorer, "ActiveX" und der Home-Banking-Software "Quicken" durchgeführt. Im konkreten Fall diente als Köder eine manipulierte Web-Seite. Die Seite wurde so verändert, daß beim Anklicken durch den Surfer ein Geldtransaktionssatz der Datei seiner Home-Banking-Software hinzugefügt wurde. Der Geldbetrag wurde dann bei der nächsten Sammelüberweisung des PC- Besitzers "unbemerkt" mit überwiesen.

Frank W. Felzmann, Sprecher des Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI), hält die in der Sendung gezeigten Mißbrauchsmöglichkeiten beim Online-Banking "für durchaus möglich". Allerdings müßten dabei alle Sicherheitsvorkehrungen wie die manuelle Paßworteingabe innerhalb der Finanzsoftware ausgeschaltet werden. Insgesamt habe das "ActiveX"-Konzept von Microsoft deutliche Sicherheitslücken. "Die Firma Microsoft legt mehr Wert auf Funktionalität als auf Sicherheit, das sieht man auch beim Thema Macro-Viren", so Felzmann weiter.

""ActiveX" ist ein Problem", erklärte Andy Müller-Maguhn, Sprecher des Chaos Computer Clubs (CCC). Der CCC hatte bereits vor mehreren Wochen vor den Gefahren von Active-X gewarnt. "Bereits wenige Tage nach der Freigabe von Active-X durch Microsoft waren im Internet Seiten verfügbar, die einen ferngesteuerten Systemabsturz erzeugten, wenn Active-X auf dem Rechner des Netzbenutzers aktiviert ist. Die von Microsoft als "Sicherheitsmaßnahmen" bezeichneten Funktionen lassen sich, wie schon die ersten derartigen Beispiele zeigten, sehr einfach umgehen", so der CCC in einer Erklärung. Ein Computer-Sicherheitsexperte, der nicht genannt werden möchte, betonte: "Wenn Microsoft in Deutschland Autos verkaufen würde, würden die Fahrzeuge erst gar nicht zugelassen."

Frank W. Felzmann vom BSI rät allen Online-Banking-Nutzern die Online-Transaktionsverfahren nicht zu automatisieren und die Sicherheits-Features nicht zu deaktivieren. Einen Schritt weiter geht der Chaos Computer Club: "Beim jetzigen Stand der Dinge kann von der Nutzung des Microsoft-Explorers mit ActiveX nur abgeraten werden. Der Benutzer muß mindestens nach seinem Einverständnis gefragt werden, bevor andere Stellen die Kontrolle über seinen Computer übernehmen. Dateimanipulationen wie mit ActiveX dürfen nicht möglich sein."

Auch Microsoft-Sprecher Thomas Baumgärtner räumt ein, daß mit etwas Aufwand die "ActiveX"-Technologie mißbraucht werden könne. Betont aber, daß der Anwender des Internet-Explorers die Ausführung von "ActiveX"-Programmen untersagen könne. "Wer auf seinem Computer Geld verwaltet, sollte diese Sicherheitsoption in keinem Fall deaktivieren", so Baumgärtner.

Weitere Informationen: Mitteldeutscher Rundfunk, Tel.: 0341-3000;
Chaos Computer Club, Andy Müller-Maguhn, Tel.: 04-401 80 10;
Microsoft, Thomas Baumgärtner, Tel.: 089-3176-5392

zur ckzurück © 1996-2024 Lutz Donnerhacke @ IKS GmbH Jena Wednesday | 25.Dec.2024