IVWPixel Zählpixel

Online-Überweisungen "gehackt"

Computer-Hacker manipulierten mit Microsoft-Technologie

Dresden/München (dpa) - Computer-Hacker aus dem Umfeld des Chaos Computer Clubs haben mögliche Manipulationen von Online-Überweisungen auf dem PC mit Hilfe der neuen Microsoft-Technologie "ActiveX" demonstriert. In einem Beitrag des ARD-Wirtschaftsmagazins "Plusminus", der am Dienstag abend ausgestrahlt werden sollte, zeigen die Hacker, wie mit dem Internet-Zugangsprogramm von Microsoft, dem "Internet Explorer", dank "ActiveX" ein Computer quasi ferngesteuert werden kann, ohne daß unerfahrene Nutzer die Manipulation entdecken. Im vorgeführten Fall wurden von einem fremden Konto 20 Mark überwiesen, berichtete der Mitteldeutsche Rundfunk (MDR) in Dresden am Dienstag vorab.

Als Köder diente eine manipulierte Internet-Seite, beispielsweise mit dem Titel "Millionär in fünf Minuten". Klickt ein Online-Banking- Kunde diese Internet-Seite an, wird ein ActiveX-Programm in seinen PC geladen, das wiederum eine Finanzverwaltungssoftware ("Quicken") aufruft. Die Manipulationssoftware füllt dann das entsprechende Überweisungsformular aus, und der Betrag wird bei der nächsten Sammelüberweisung des PC-Besitzers unbemerkt mit überwiesen.

Frank W. Felzmann, der Sprecher des Bonner Bundesamtes für Sicherheit in der Informationstechnik (BSI), bestätigte prinzipiell diese Mißbrauchsmöglichkeit. "Wir haben uns das vorführen lassen und glauben, daß so etwas wirklich möglich ist." Allerdings müßten dabei alle Sicherheitsvorkehrungen wie die manuelle Passworteingabe innerhalb der Finanzsoftware ausgeschaltet werden. "Wenn Sie bei einem Auto die Schlüssel stecken lassen, müssen Sie sich auch nicht wundern, wenn der Wagen geklaut wird." Insgesamt habe das "ActiveX"- Konzept von Microsoft deutliche Sicherheitslücken, die noch größer als bei der konkurrierenden Netzwerk-Programmiersprache "Java" von Sun Microsystems seien, sagte der BSI-Sprecher.

"Sicherheitsoption auf jeden Fall nicht deaktivieren"

Der Sprecher von Microsoft in Deutschland, Thomas Baumgärtner, räumte prinzipiell ein, daß mit krimineller Energie die "ActiveX"- Technologie mißbraucht werden könne. Innerhalb des Internetzugang- Programms "Internet Explorer" könne allerdings jeder Nutzer die Ausführung von "ActiveX"-Programmen untersagen. "Wer richtiges Geld auf seinem PC verwaltet, sollte diese Sicherheitsoption auf jeden Fall nicht deaktivieren."

Andy Müller-Maguhn, der Sprecher des Chaos Computer Clubs, betonte, beim jetzigen Stand der Dinge könne von der Nutzung des "Internet Explorers" mit "ActiveX" nur abgeraten werden. Bereits wenige Tage nach der Freigabe von "ActiveX" durch Microsoft seien im Internet Seiten aufgetaucht, die einen ferngesteuerten Absturz eines PC verursachten.

"ActiveX" wurde von Microsoft eingeführt, um Multimedia- Animationen und kleine Dienstleistungsprogramme über Datennetze schicken zu können. "ActiveX"-Programmierer müssen ihr Programm bei Treuhänderfirmen registrieren lassen, damit sie automatisch über das Netz ausgeführt werden. Nicht registrierte Programme lösen einen Warnhinweis auf dem PC aus, allerdings kann diese Warnfunktion auch abgestellt werden.


Letzte Änderung: 08.04.1997 18:09 von aj