Der Schweizerische Beobachter

Die Webseite sieht aus, wie eine Anmeldeseite für E-Banking eben auszusehen hat: links oben das UBS-Logo, darunter der Schriftzug «e-banking Monaco». Das Sicherheitszertifikat in der rechten unteren Ecke weist auf die Grossbank als Urheberin der Seite hin, und ein «https» in der Internetadresse zeigt an, dass es sich um eine verschlüsselte Verbindung handelt.

Die Seite ist jedoch mitnichten auf einem Server der UBS zu finden, sondern als eine Art digitale Trophäe im Weblog «live.rootquest.com» des IT-Fachmanns Peter Stöckli aus Muri AG. Dort demonstriert der Inhaber eines auf Sicherheitslösungen spezialisierten Unternehmens, wie einfach die entsprechenden Vorkehrungen der Grossbank auszuhebeln sind.

Stöckli hatte aus purem Interesse UBS-Seiten nach Lücken abgesucht und war schnell fündig geworden: Innert dreier Wochen stiess er auf 14 UBS-Webseiten, über die man - die entsprechenden Kenntnisse vorausgesetzt - auf Server der Grossbank zugreifen konnte. In fünf Fällen entdeckte er dabei so genannte Cross-Site-Scripting-Lücken (XSS-Lücken), digitale Löcher im Sicherheitssystem, dank denen sich Webseiten ohne grösseren Aufwand manipulieren lassen.

Konto innert Sekunden leer räumen

Internetkriminellen öffnet sich damit Tür und Tor für so genannte Phishing-Attacken: Bankkunden werden per Mail aufgefordert, auf einer per Link mitgeschickten Webseite Benutzername und Passwort anzugeben. Solche Angriffe sind gewöhnlich selbst für Laien erkennbar, weil sie auf schlecht nachgemachte Seiten führen. Mit einer XSS-Lücke lässt sich eine Webseite jedoch so manipulieren, dass sie zwar alle UBS-Sicherheitsmerkmale aufweist, tatsächlich aber statt bei der Bank auf einem x-beliebigen Server liegt, über den ein gewiefter Hacker ein Konto innert Sekunden leer räumen kann.

«Wir sehen kein Sicherheitsproblem», sagt jedoch UBS-Mediensprecherin Rebeca Garcia. Mit dem von der Bank benutzten System seien die Kunden «gegen jegliches Phishing geschützt». Jedes System habe aber seine Lücken. «Deshalb kann es passieren, dass IT-Fachspezialisten ‹Sicherheitslücken› bei regionalen Internetseiten mit einem entsprechenden niedrigen Sicherheitslevel finden.»

«Das Beispiel zeigt, wie einfach man Bankkunden abzocken kann», erklärt hingegen der Zürcher IT-Sicherheitsexperte Guido Rudolphi. «Für den Benutzer ist bei einer derart manipulierten Seite nicht ersichtlich, dass er statt der Bank einem Kriminellen seine Daten offenbart. Umso grösser ist die Verantwortung der Bank, solche Lücken sofort zu schliessen.»

Schokolade als Dank

Das fand auch Stöckli. Er meldete deshalb die entdeckten Sicherheitsrisiken jeweils umgehend der UBS. In seinem Weblog publizierte er seine Erkenntnisse erst, wenn die Seiten von der UBS vom Netz genommen waren. «Selbstverständlich» nehme die UBS Hinweise auf Sicherheitslücken entgegen und setze Gegenmassnahmen um, erklärt Mediensprecherin Garcia.

Stöckli machte andere Erfahrungen. Die Grossbank reagierte zuerst dankbar mit Schokolade, dann nur noch dankbar und schliesslich zunehmend verärgert auf die Hinweise. Mitte Januar beschieden die beiden Chefs der Abteilung Group Intellectual Property dem findigen Stöckli, man habe für seine Hilfe «momentan keinen Bedarf» und wolle die Korrespondenz mit ihm «hiermit abschliessen».

Sicherheitsspezialist Stöckli ist ob so viel Ignoranz die Lust am Suchen vergangen. Die letzten fünf gravierenden Sicherheitslücken hat er am 5. Januar der UBS mitgeteilt. Am 29. Januar waren sie immer noch nicht geschlossen.