Was Banken vom Compliance-/Sicherheitsstandard "PCI DSS" lernen können Cross Site Scripting und wie sich XSS-Schwachstellen vermeiden lassen
(22.10.10) - Dr. Georg Heß, CEO von art of defence, äußerte sich zu Cross-Site-Scripting-Schwachstellen bei Banken-Websites..
"Die Online-Angebote zahlreicher Banken sind anfällig für Cross-Site-Scripting-Angriffe (XSS-Angriffe); dies hat laut Medienberichten ein Schüler herausgefunden. Dabei hätten die Banken gewarnt sein können: Cross-Site-Scripting ist die am weitesten verbreitete Schwachstelle bei Web-Applikationen. Damit erreicht XSS den zweiten Platz in den OWASP-Top-Ten. Diese Liste fasst die größten Risiken für Web-Applikationen zusammen und ist Bestandteil des Sicherheitsstandards der Kreditkartenindustrie PCI DSS.
Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)
Er beschreibt detailliert, wie Web-Anwendungen geschützt werden sollen: regelmäßige Überprüfungen auf gängige Schwachstellen durch externe Experten, laufende Bewertung neuer Schwachstellen, Testen neuer Funktionen auf Angreifbarkeit, Einsatz einer Web Application Firewall und vieles mehr. Daran sollten sich Banken ein Beispiel nehmen.
Mit einer XSS-Attacke kann sich ein Angreifer Benutzerdaten, zum Beispiel Log-ins, verschaffen. Das Perfide ist, dass der Nutzer selbst die XSS-Angriffe nicht erkennen kann, da der Angriff komplett in die vermeintlich vertrauenswürdige Website seiner Bank eingebettet ist. Wenn sich Banken gegen diese Schwachstellen nicht absichern, setzen sie das Vertrauen ihrer Kunden aufs Spiel." (art of defence: ra)
art of defence: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Seit dem 25. Mai 2018 muss die EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt werden. Der Bundesverband IT-Mittelstand e.V. (BITMi) fokussiert langfristige Vorteile der Verordnung für Privatsphäre, digitale Datenmodelle und vor allem Harmonisierung der EU im Zeitalter der Globalisierung. "Auf Dauer werden die Vorteile überwiegen. Einheitliche Regelungen lösen EU-weit einen Flickenteppich an Datenschutzgesetzen ab. Setzt sich allerdings eine einseitige Auslegung zu Ungunsten der Wirtschaft durch, kann dies die Wettbewerbsfähigkeit innereuropäischer Digitalunternehmen und schließlich auch den Wohlstand empfindlich beeinträchtigen. Dennoch sind BigData- und KI-Geschäftsmodelle mit anonymisierten Daten nach unserer Rechtsauffassung einwilligungsfrei möglich", fasst Dr. Oliver Grün, Präsident des BITMi und auch des Europa IT-Mittelstandsverbandes European DIGITAL SME Alliance a.i.s.b.l., die Auswirkungen zusammen.
Der Streit über ein neues EU-Urheberrecht dauert in Brüssel bereits seit Jahren an. Anfang März dieses Jahres stellte die EU-Kommission ihre sogenannten "Empfehlungen für wirksame Maßnahmen im Umgang mit illegalen Online-Inhalten" vor, also unter anderem mit urheberrechtlich geschützten Inhalten. Online-Plattformen und Speicherdienste werden dazu aufgefordert, sobald wie möglich Maßnahmen umzusetzen, um die Sperrung von illegalen Inhalten auf den jeweiligen Plattformen zu ermöglichen. Gefordert wird unter anderem, die Entdeckung und Entfernung solcher Inhalte durch die Implementierung eines Upload-Filters zu automatisieren.
Zur vom Ärztetag beschlossenen Lockerung des Verbots der ausschließlichen Fernbehandlung erklärt Bitkom-Präsident Achim Berg: "Die Möglichkeiten der Digitalisierung in der Medizin müssen noch stärker genutzt werden. So sind zum Beispiel Onlinesprechstunden nur erlaubt, wenn die Patienten den entsprechenden Arzt zuvor persönlich aufgesucht haben. Die heute auf dem Deutschen Ärztetag in Erfurt beschlossene Lockerung des Verbots der ausschließlichen Fernbehandlung ist nun ein richtiger Schritt zu mehr Gesundheit für alle." Onlinesprechstunden werden dadurch künftig auch ohne vorherigen Praxisbesuch möglich sein.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat jüngst das Verhältnis der neuen Datenschutz-Grundverordnung zum bestehenden Telemediengesetz (TMG) bewertet. Nach Auffassung der Datenschutzkonferenz würde die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung die bisherigen Vorschriften des Telemediengesetzes zum Webtracking komplett ersetzen. Aus Sicht des Digitalverbands Bitkom ist diese Auslegung falsch und der Zeitpunkt der Aussage äußerst unglücklich. "Diese Interpretation der Rechtslage wenige Wochen vor Inkrafttreten der Datenschutz-Grundverordnung kommt zur Unzeit für Unternehmen", sagt Susanne Dehmel aus der Bitkom-Geschäftsleitung und dort für Recht und Sicherheit zuständig. "Webseitenbetreiber müssten ihre bislang rechtmäßigen Prozesse innerhalb kürzester Zeit umstellen. Das ist kaum leistbar und das müssten auch die Aufsichtsbehörden wissen."
Nachdem Europäisches Parlament und Ministerrat für einen Verordnungsentwurf gestimmt haben, der Geoblocking im E-Commerce in den Mitgliedsstaaten verhindern soll, ist der Text im Amtsblatt der EU veröffentlicht worden. Am 22. März trat er in Kraft. Für Händler beginnt damit eine neunmonatige Übergangsfrist, ehe die Regelungen zum 3. Dezember 2018 dann verbindlich angewendet werden müssen.
