Die österreichische Banking-Software ELBA-business hat einem Angriff in der jüngsten Vergangenheit nicht standgehalten. Betroffen war die Netzwerkinstallation. Diese wird von Firmen zur Administration mehrerer Konten mit nur einem System genützt. Der Vorgang ist von verschiedenen Arbeitsplätzen aus möglich.
Der Pen-Tester Florian Bogner kam der Sicherheitslücke auf die Spur. Ein professioneller Pen-Tester legt es bewusst darauf an, Sicherheitseinstellungen zu umgehen. Dieser Angriff soll die Verwundbarkeit eines Systems aufzeigen.
Als Bogner den Online-Banking-Clienten eines österreichischen Unternehmens startete, wurden Updates ohne vorherige Authentifizierung gemacht. Der IT-Fachmann erhielt nach diesem ersten Verdachtsmoment und weiteren Nachforschungen Zugriff auf die gesamte Datenbank und das darunterliegende System. Es wäre möglich gewesen, Banktransaktionen durchzuführen oder Programme auszuführen. Aufgrund des intakten Tan-Verfahrens wäre aber noch eine Autorisierung der Transaktion nötig gewesen.
Da es kein echter Angriff von Cyberkriminellen war, ist kein Schaden entstanden. 24 österreichische Banken arbeiten mit ELBA-business. Ein böser Hack hätte alarmierende Folgen haben können.
Bereit für den Pen-Test?
Die Zusammenarbeit mit dem Informationssicherheitsexperten Bogner, ermöglichte eine rasches Schließen der Sicherheitslücke, die ausschließlich Netzwerkinstallationen betraf. Eine aktualisierte Softwareversion steht zur Verfügung und wird einem erneuten Test standhalten.
FAZIT: Electronic Banking ist nicht immer so sicher wie man denkt und Penetration Tests können uns vor unerlaubten Geldtransaktionen von Angreifern schützen. Bitte nicht vergessen: Es gibt ein Update von ELBA5, das du unbedingt machen solltest.
Quelle: golem.de; Foto: crello
Erstellt am: 26. November 2018