From a2a26a0bc27924f972fca25cce03276d57dc601b Mon Sep 17 00:00:00 2001
From: 46halbe <46halbe@berlin.ccc.de>
Date: Thu, 10 Mar 2011 18:20:39 +0000
Subject: committing page revision 1

---
 updates/2011/bundesfinanzagentur.md | 78 +++++++++++++++++++++++++++++++++++++
 1 file changed, 78 insertions(+)
 create mode 100644 updates/2011/bundesfinanzagentur.md

diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md
new file mode 100644
index 00000000..7700ada2
--- /dev/null
+++ b/updates/2011/bundesfinanzagentur.md
@@ -0,0 +1,78 @@
+title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin
+date: 2011-03-10 17:59:00 
+updated: 2011-03-10 18:20:39 
+author: admin
+tags: update, pressemitteilung
+
+Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.
+
+<!-- TEASER_END -->
+
+Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang
+jeder Internetnutzer mit seinem Webbrowser eigene Angebote für
+Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern
+und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert
+wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden
+dadurch erleichtert, daß die Agentur dem Surfer einen grafischen
+Datenmanager \[2\] anbot.
+
+Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale
+Dienstleister für die Kreditaufnahme des Bundes durch
+Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste
+vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze
+und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen
+Bundesbank aus.
+
+Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls
+schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde,
+kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das
+Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet
+Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration
+des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf
+"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren,
+daß dieser als Zwischenpuffer für das Webbanking-System funktioniert –
+ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte
+Apache-Webserversoftware unterstützt die nötigen Funktionen bereits
+standardmäßig.
+
+Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den
+Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell
+mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu
+bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit
+herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der
+Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle
+Phishing-Warnungen des Webbrowser inaktiv.
+
+"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr
+einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten
+ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte
+Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb
+dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel",
+erläuterte CCC-Sprecher Dirk Engling.
+
+Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche
+Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die
+Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig
+fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die
+Webagentur habe das so geliefert" – und es sei nie etwas daran geändert
+worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch
+das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden
+bisher keine Probleme an der Systemimplementierung identifiziert, sagte
+der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem
+CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC
+mit, daß der Server zwar einmal mit einem Penetrationstest auf
+Sicherheitsprobleme von außen untersucht wurde, es seien aber keine
+Mängel gefunden worden.
+
+"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber
+gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist
+kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die
+für die Refinanzierung der deutschen Schuldengebirge zuständig ist,
+kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk
+Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur
+kollektiven Erarbeitung eines besseren Managements der Staatsschulden."
+
+Links: \[1\]
+[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und
+[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/)
+\[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php>
-- 
cgit v1.2.3