Die Mehrheit der Österreicher (57 Prozent) nutzten 2017 Online-Banking für ihre Transaktionen. Trotz vieler Sicherheitsvorgaben gibt es immer wieder Schwachstellen, die von Angreifern ausgenutzt werden können. Der Sicherheitsforscher Florian Bogner entdeckte im Raiffeisen-Banksystem ELBA (das auch von der Bawag PSK verwendet wird) einen Zero-Day-Exploit. Dieser hätte dazu genutzt werden, um ein neues Profil mit Admin-Rechten anzulegen und Transaktionen zu manipulieren. Die Lücke wurde bereits geschlossen.

Bereits im Vorjahr meldete Bogner seine Entdeckung. In der aktuellsten Version 5.8.1 wurde der Fehler behoben. Da sich dieser aber in der Architektur der Software befand, dauerte es so lange bis ein Fix ausgeliefert werden konnte. Betroffen waren Anwender der Elba5 Netzwerkinstallation. Mit der Netzwerkinstallation können Firmen von mehreren Arbeitsplätzen aus verschiedene Konten bei unterschiedlichen Banken mit einem einzelnen System verwalten. Für Anwender reicht es, die neue Version zu installieren. Ausgenutzt wurde der Fehler laut Bogner nicht.

Bei seinen Nachforschungen gelang es Bogner die gesamte Datenbank und das darunterliegende System zu übernehmen. Wären Angreifer ihm zuvor gekommen und der Fehler damit unentdeckt geblieben, wäre es möglich gewesen, vorbereitete Transaktionen zu manipulieren und beliebige Programme auf dem Zielsystem auszuführen.

"Ich vermute, der Angriff wäre vor allem bei größeren Firmen interessant gewesen", sagt Bogner. "Durch Phishing hätte jemand Malware im Firmennetzwerk platzieren und so auf den von der Anwendung genutzten Port zugreifen können", schreibt Bogner in seinem Blogeintrag.

