summaryrefslogtreecommitdiff
path: root/updates/2011/bundesfinanzagentur.md
blob: 25f48ced0a86222debd9aed75bfdf85babd735e5 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin
date: 2011-03-10 17:59:00 
updated: 2011-03-10 18:26:26 
author: admin
tags: update, pressemitteilung

Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.

<!-- TEASER_END -->

Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang
jeder Internetnutzer mit seinem Webbrowser eigene Angebote für
Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern
und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert
wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden
dadurch erleichtert, daß die Agentur dem Surfer einen graphischen
Datenmanager \[2\] anbot.

Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale
Dienstleister für die Kreditaufnahme des Bundes durch
Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste
vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze
und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen
Bundesbank aus.

Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls
schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde,
kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das
Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet
Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration
des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf
"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren,
daß dieser als Zwischenpuffer für das Webbanking-System funktioniert –
ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte
Apache-Webserversoftware unterstützt die nötigen Funktionen bereits
standardmäßig.

Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den
Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell
mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu
bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit
herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der
Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle
Phishing-Warnungen des Webbrowser inaktiv.

"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr
einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten
ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte
Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb
dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel",
erläuterte CCC-Sprecher Dirk Engling.

Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche
Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die
Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig
fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die
Webagentur habe das so geliefert" – und es sei nie etwas daran geändert
worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch
das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden
bisher keine Probleme an der Systemimplementierung identifiziert, sagte
der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem
CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC
mit, daß der Server zwar einmal mit einem Penetrationstest auf
Sicherheitsprobleme von außen untersucht wurde, es seien aber keine
Mängel gefunden worden.

"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber
gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist
kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die
für die Refinanzierung der deutschen Schuldengebirge zuständig ist,
kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk
Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur
kollektiven Erarbeitung eines besseren Managements der Staatsschulden."

Links: \[1\]
[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und
[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/)
\[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php>