Anzeige

Anzeige

VERANSTALTUNGEN

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Anzeige

Anzeige

Trading-Plattform

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu nehmen und sich vom heimischen Computer aus um seine Bank- und Versicherungsgeschäfte zu kümmern.

Wer dabei nicht nur hin und wieder mit Aktien, CFDs oder anderen Finanzprodukten handeln will, gelangt bei der eigenen Hausbank und deren Online-Banking-Plattform oft schnell an seine Grenzen. Für diese Trader gibt es spezielle Online-Broker, die ihren Kunden in den meisten Fällen deutlich umfangreichere Handelsplattformen zur Verfügung stellen. Hier gibt es Analysetools, Charts und oft die Möglichkeit, Strategien in Form von automatisierten Handelssystemen zu hinterlegen.

Wir sehen: Durchaus sensible Informationen werden bei der Kommunikation mit diesen Handelsplattformen hin und her geschickt. Daher sollte der Sicherheit der Software mindestens genauso viel Aufmerksamkeit gewidmet werden wie der Usability und dem Funktionsumfang. Ob das auch tatsächlich der Fall ist, hat der Sicherheitsforscher Alejandro Hernándes von IOActive bei den 40 bekanntesten Plattformen untersucht. Sein Test umfasste dabei Mobile-, Desktop- und Webanwendungen der Broker. Sein Ergebnis: Die Cybersecurity der getesteten Systeme lässt sehr zu wünschen übrig.

Mehr als die Hälfte der getesteten Plattformen übertrug zumindest einen Teil der Daten unverschlüsselt, was einen Man-in-the-Middle-Angriff ermöglichen kann. Ein Teil der Programme speicherte unverschlüsselte Passwörter lokal auf dem Rechner, wodurch sie mittels direktem Zugriff, beispielsweise über eine Fernwartungssoftware, ausgelesen werden könnten. Wieder andere übertrugen die Passwörter im Klartext. In zwei Fällen beendete die Software eine Sitzung auf Serverseite erst Stunden nach dem Log-out des Nutzers. Wäre in dieser Zeit das Session-Cookie in die falschen Hände gefallen, hätte ein Angreifer vollen Zugriff auf das Trading-Konto erhalten, Gelder auf die eigenen Konten überweisen oder das Trading-Konto sogar schließen können.

Ein weiterer Kritikpunkt des Sicherheitsforschers ist, dass eine Zwei-Faktor-Authentifizierung zwar von den Systemen angeboten wird, aber nicht zu den Standardeinstellungen zählt. Zu guter Letzt sieht Hernández auch in einer durchaus beliebten Funktion vieler Trading-Plattformen ein Problem: Der Erstellung und Verbreitung von vorprogrammierten Handelsstrategien als Plug-ins für die Plattform. Diese können beispielsweise von erfolgreichen Tradern erstellt und an Follower vergeben werden. Dieses sogenannte Social Trading hat in den vergangenen Jahren an Beliebtheit gewonnen, birgt aber auch Gefahren. Laut Hernández könnte sich in den Plug-ins zusätzlicher Schadcode verstecken. Besonders der Einsatz einfacher Programmiersprachen wie C++ oder Pascal macht es Kriminellen einfach, sich auf diese Weise eine Hintertür zu öffnen.

Alejandro Hernández hat in dieser Woche seine Ergebnisse im Detail auf der Konferenz Black Hat USA in Las Vegas vorgestellt und nun auch erstmals die meisten der untersuchten Broker beim Namen genannt. Eine verkürzte Version seines Berichts war bereits im Herbst erschienen, allerdings wollte der Sicherheitsforscher den Anbietern der Handelsplattformen die Chance geben, die Sicherheitslücken vor der Veröffentlichung zu schließen.

www.8com.de
 

GRID LIST
Mann und Schatten von Hammer

Operation ShadowHammer bedroht eine Millionen Nutzer weltweit

Kaspersky Lab hat eine neue APT-Kampagne (Advanced Persistent Threat) entdeckt: Bei der…
Stop Hacker

Firmen müssen Hackerabwehr neu denken

Tagtäglich sind Unternehmen das Ziel von Cyberattacken. Per Schadsoftware und über…
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…