From a2a26a0bc27924f972fca25cce03276d57dc601b Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Thu, 10 Mar 2011 18:20:39 +0000 Subject: committing page revision 1 --- updates/2011/bundesfinanzagentur.md | 78 +++++++++++++++++++++++++++++++++++++ 1 file changed, 78 insertions(+) create mode 100644 updates/2011/bundesfinanzagentur.md diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md new file mode 100644 index 00000000..7700ada2 --- /dev/null +++ b/updates/2011/bundesfinanzagentur.md @@ -0,0 +1,78 @@ +title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin +date: 2011-03-10 17:59:00 +updated: 2011-03-10 18:20:39 +author: admin +tags: update, pressemitteilung + +Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen. + + + +Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang +jeder Internetnutzer mit seinem Webbrowser eigene Angebote für +Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern +und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert +wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden +dadurch erleichtert, daß die Agentur dem Surfer einen grafischen +Datenmanager \[2\] anbot. + +Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale +Dienstleister für die Kreditaufnahme des Bundes durch +Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste +vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze +und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen +Bundesbank aus. + +Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls +schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, +kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das +Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet +Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration +des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf +"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren, +daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – +ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte +Apache-Webserversoftware unterstützt die nötigen Funktionen bereits +standardmäßig. + +Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den +Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell +mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu +bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit +herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der +Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle +Phishing-Warnungen des Webbrowser inaktiv. + +"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr +einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten +ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte +Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb +dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", +erläuterte CCC-Sprecher Dirk Engling. + +Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche +Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die +Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig +fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die +Webagentur habe das so geliefert" – und es sei nie etwas daran geändert +worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch +das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden +bisher keine Probleme an der Systemimplementierung identifiziert, sagte +der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem +CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC +mit, daß der Server zwar einmal mit einem Penetrationstest auf +Sicherheitsprobleme von außen untersucht wurde, es seien aber keine +Mängel gefunden worden. + +"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber +gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist +kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die +für die Refinanzierung der deutschen Schuldengebirge zuständig ist, +kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk +Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur +kollektiven Erarbeitung eines besseren Managements der Staatsschulden." + +Links: \[1\] +[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und +[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/) +\[2\] -- cgit v1.2.3