diff options
author | 46halbe <46halbe@berlin.ccc.de> | 2011-03-10 18:20:39 +0000 |
---|---|---|
committer | 46halbe <46halbe@berlin.ccc.de> | 2020-05-23 13:39:00 +0000 |
commit | a2a26a0bc27924f972fca25cce03276d57dc601b (patch) | |
tree | 49290bae9cb7892d0c7202f4e1e816679cd5eac1 | |
parent | b480313168119f2e325ab31f56a9dcbd900f330f (diff) |
committing page revision 1
-rw-r--r-- | updates/2011/bundesfinanzagentur.md | 78 |
1 files changed, 78 insertions, 0 deletions
diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md new file mode 100644 index 00000000..7700ada2 --- /dev/null +++ b/updates/2011/bundesfinanzagentur.md | |||
@@ -0,0 +1,78 @@ | |||
1 | title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin | ||
2 | date: 2011-03-10 17:59:00 | ||
3 | updated: 2011-03-10 18:20:39 | ||
4 | author: admin | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang | ||
12 | jeder Internetnutzer mit seinem Webbrowser eigene Angebote für | ||
13 | Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern | ||
14 | und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert | ||
15 | wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden | ||
16 | dadurch erleichtert, daß die Agentur dem Surfer einen grafischen | ||
17 | Datenmanager \[2\] anbot. | ||
18 | |||
19 | Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale | ||
20 | Dienstleister für die Kreditaufnahme des Bundes durch | ||
21 | Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste | ||
22 | vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze | ||
23 | und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen | ||
24 | Bundesbank aus. | ||
25 | |||
26 | Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls | ||
27 | schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, | ||
28 | kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das | ||
29 | Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet | ||
30 | Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration | ||
31 | des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf | ||
32 | "Internet Banking" geschieht. Er kann den Webserver so umprogrammieren, | ||
33 | daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – | ||
34 | ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte | ||
35 | Apache-Webserversoftware unterstützt die nötigen Funktionen bereits | ||
36 | standardmäßig. | ||
37 | |||
38 | Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den | ||
39 | Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell | ||
40 | mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu | ||
41 | bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit | ||
42 | herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der | ||
43 | Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle | ||
44 | Phishing-Warnungen des Webbrowser inaktiv. | ||
45 | |||
46 | "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr | ||
47 | einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten | ||
48 | ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte | ||
49 | Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb | ||
50 | dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", | ||
51 | erläuterte CCC-Sprecher Dirk Engling. | ||
52 | |||
53 | Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche | ||
54 | Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die | ||
55 | Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig | ||
56 | fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die | ||
57 | Webagentur habe das so geliefert" – und es sei nie etwas daran geändert | ||
58 | worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch | ||
59 | das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden | ||
60 | bisher keine Probleme an der Systemimplementierung identifiziert, sagte | ||
61 | der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem | ||
62 | CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC | ||
63 | mit, daß der Server zwar einmal mit einem Penetrationstest auf | ||
64 | Sicherheitsprobleme von außen untersucht wurde, es seien aber keine | ||
65 | Mängel gefunden worden. | ||
66 | |||
67 | "Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber | ||
68 | gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist | ||
69 | kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die | ||
70 | für die Refinanzierung der deutschen Schuldengebirge zuständig ist, | ||
71 | kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk | ||
72 | Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur | ||
73 | kollektiven Erarbeitung eines besseren Managements der Staatsschulden." | ||
74 | |||
75 | Links: \[1\] | ||
76 | [http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und | ||
77 | [http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/) | ||
78 | \[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php> | ||