Studie entlarvt gravierende Sicherheitslücken bei Trading-Plattformen

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu nehmen und sich vom heimischen Computer aus um seine Bank- und Versicherungsgeschäfte zu kümmern. Wer dabei nicht nur hin und wieder mit Aktien, CFDs oder anderen Finanzprodukten handeln will, gelangt bei der eigenen Hausbank und deren Online-Banking-Plattform oft schnell an seine Grenzen. Für diese Trader gibt es spezielle Online-Broker, die ihren Kunden in den meisten Fällen deutlich umfangreichere Handelsplattformen zur Verfügung stellen. Hier gibt es Analysetools, Charts und oft die Möglichkeit, Strategien in Form von automatisierten Handelssystemen zu hinterlegen.

Wir sehen: Durchaus sensible Informationen werden bei der Kommunikation mit diesen Handelsplattformen hin und her geschickt. Daher sollte der Sicherheit der Software mindestens genauso viel Aufmerksamkeit gewidmet werden wie der Usability und dem Funktionsumfang. Ob das auch tatsächlich der Fall ist, hat der Sicherheitsforscher Alejandro Hernándes von IOActive bei den 40 bekanntesten Plattformen untersucht. Sein Test umfasste dabei Mobile-, Desktop- und Webanwendungen der Broker. Sein Ergebnis: Die Cybersecurity der getesteten Systeme lässt sehr zu wünschen übrig.

Mehr als die Hälfte der getesteten Plattformen übertrug zumindest einen Teil der Daten unverschlüsselt, was einen Man-in-the-Middle-Angriff ermöglichen kann. Ein Teil der Programme speicherte unverschlüsselte Passwörter lokal auf dem Rechner, wodurch sie mittels direktem Zugriff, beispielsweise über eine Fernwartungssoftware, ausgelesen werden könnten. Wieder andere übertrugen die Passwörter im Klartext. In zwei Fällen beendete die Software eine Sitzung auf Serverseite erst Stunden nach dem Log-out des Nutzers. Wäre in dieser Zeit das Session-Cookie in die falschen Hände gefallen, hätte ein Angreifer vollen Zugriff auf das Trading-Konto erhalten, Gelder auf die eigenen Konten überweisen oder das Trading-Konto sogar schließen können.

Ein weiterer Kritikpunkt des Sicherheitsforschers ist, dass eine Zwei-Faktor-Authentifizierung zwar von den Systemen angeboten wird, aber nicht zu den Standardeinstellungen zählt. Zu guter Letzt sieht Hernández auch in einer durchaus beliebten Funktion vieler Trading-Plattformen ein Problem: Der Erstellung und Verbreitung von vorprogrammierten Handelsstrategien als Plug-ins für die Plattform. Diese können beispielsweise von erfolgreichen Tradern erstellt und an Follower vergeben werden. Dieses sogenannte Social Trading hat in den vergangenen Jahren an Beliebtheit gewonnen, birgt aber auch Gefahren. Laut Hernández könnte sich in den Plug-ins zusätzlicher Schadcode verstecken. Besonders der Einsatz einfacher Programmiersprachen wie C++ oder Pascal macht es Kriminellen einfach, sich auf diese Weise eine Hintertür zu öffnen.

Alejandro Hernández hat in dieser Woche seine Ergebnisse im Detail auf der Konferenz Black Hat USA in Las Vegas vorgestellt und nun auch erstmals die meisten der untersuchten Broker beim Namen genannt. Eine verkürzte Version seines Berichts war bereits im Herbst erschienen, allerdings wollte der Sicherheitsforscher den Anbietern der Handelsplattformen die Chance geben, die Sicherheitslücken vor der Veröffentlichung zu schließen.

Über die 8com GmbH & Co. KG

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel