committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2011-03-10 18:20:39 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:39:00 +0000
commit: a2a26a0bc27924f972fca25cce03276d57dc601b (patch)
tree: 49290bae9cb7892d0c7202f4e1e816679cd5eac1
parent: b480313168119f2e325ab31f56a9dcbd900f330f (diff)
1 files changed, 78 insertions, 0 deletions
diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md
new file mode 100644
index 00000000..7700ada2
--- /dev/null
+++ b/updates/2011/bundesfinanzagentur.md
@@ -0,0 +1,78 @@
+title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin
+date: 2011-03-10 17:59:00 
+updated: 2011-03-10 18:20:39 
+author: admin
+tags: update, pressemitteilung
+Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.
+<!-- TEASER_END -->
+Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang
+jeder Internetnutzer mit seinem Webbrowser eigene Angebote für
+Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern
+und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert
+wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden
+dadurch erleichtert, daß die Agentur dem Surfer einen grafischen
+Datenmanager \[2\] anbot.
+Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale
+Dienstleister für die Kreditaufnahme des Bundes durch
+Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste
+vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze
+und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen
+Bundesbank aus.
+Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls
+schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde,
+kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das
+Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet
+Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration
+des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf
+"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren,
+daß dieser als Zwischenpuffer für das Webbanking-System funktioniert –
+ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte
+Apache-Webserversoftware unterstützt die nötigen Funktionen bereits
+standardmäßig.
+Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den
+Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell
+mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu
+bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit
+herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der
+Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle
+Phishing-Warnungen des Webbrowser inaktiv.
+"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr
+einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten
+ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte
+Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb
+dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel",
+erläuterte CCC-Sprecher Dirk Engling.
+Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche
+Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die
+Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig
+fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die
+Webagentur habe das so geliefert" – und es sei nie etwas daran geändert
+worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch
+das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden
+bisher keine Probleme an der Systemimplementierung identifiziert, sagte
+der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem
+CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC
+mit, daß der Server zwar einmal mit einem Penetrationstest auf
+Sicherheitsprobleme von außen untersucht wurde, es seien aber keine
+Mängel gefunden worden.
+"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber
+gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist
+kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die
+für die Refinanzierung der deutschen Schuldengebirge zuständig ist,
+kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk
+Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur
+kollektiven Erarbeitung eines besseren Managements der Staatsschulden."
+Links: \[1\]
+[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und
+[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/)
+\[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php>
author	46halbe <46halbe@berlin.ccc.de>	2011-03-10 18:20:39 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:39:00 +0000
commit	a2a26a0bc27924f972fca25cce03276d57dc601b (patch)
tree	49290bae9cb7892d0c7202f4e1e816679cd5eac1
parent	b480313168119f2e325ab31f56a9dcbd900f330f (diff)

diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md new file mode 100644 index 00000000..7700ada2 --- /dev/null +++ b/updates/2011/bundesfinanzagentur.md
@@ -0,0 +1,78 @@
	1	title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin
	2	date: 2011-03-10 17:59:00
	3	updated: 2011-03-10 18:20:39
	4	author: admin
	5	tags: update, pressemitteilung
	6
	7	Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.
	8
	9	<!-- TEASER_END -->
	10
	11	Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang
	12	jeder Internetnutzer mit seinem Webbrowser eigene Angebote für
	13	Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern
	14	und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert
	15	wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden
	16	dadurch erleichtert, daß die Agentur dem Surfer einen grafischen
	17	Datenmanager \[2\] anbot.
	18
	19	Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale
	20	Dienstleister für die Kreditaufnahme des Bundes durch
	21	Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste
	22	vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze
	23	und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen
	24	Bundesbank aus.
	25
	26	Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls
	27	schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde,
	28	kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das
	29	Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet
	30	Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration
	31	des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf
	32	"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren,
	33	daß dieser als Zwischenpuffer für das Webbanking-System funktioniert –
	34	ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte
	35	Apache-Webserversoftware unterstützt die nötigen Funktionen bereits
	36	standardmäßig.
	37
	38	Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den
	39	Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell
	40	mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu
	41	bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit
	42	herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der
	43	Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle
	44	Phishing-Warnungen des Webbrowser inaktiv.
	45
	46	"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr
	47	einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten
	48	ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte
	49	Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb
	50	dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel",
	51	erläuterte CCC-Sprecher Dirk Engling.
	52
	53	Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche
	54	Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die
	55	Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig
	56	fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die
	57	Webagentur habe das so geliefert" – und es sei nie etwas daran geändert
	58	worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch
	59	das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden
	60	bisher keine Probleme an der Systemimplementierung identifiziert, sagte
	61	der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem
	62	CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC
	63	mit, daß der Server zwar einmal mit einem Penetrationstest auf
	64	Sicherheitsprobleme von außen untersucht wurde, es seien aber keine
	65	Mängel gefunden worden.
	66
	67	"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber
	68	gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist
	69	kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die
	70	für die Refinanzierung der deutschen Schuldengebirge zuständig ist,
	71	kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk
	72	Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur
	73	kollektiven Erarbeitung eines besseren Managements der Staatsschulden."
	74
	75	Links: \[1\]
	76	[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und
	77	[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/)
	78	\[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php>