Deutsch (Active: English)

Calendar

Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin

2011-03-10 17:59:00, admin

Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.

Auf den Internetseiten der Bundesfinanzagentur [1] konnte jahrelang jeder Internetnutzer mit seinem Webbrowser eigene Angebote für Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden dadurch erleichtert, daß die Agentur dem Surfer einen graphischen Datenmanager [2] anbot.

Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale Dienstleister für die Kreditaufnahme des Bundes durch Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen Bundesbank aus.

Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf "Internet Banking" geschieht. Er kann den Webserver so umprogrammieren, daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte Apache-Webserversoftware unterstützt die nötigen Funktionen bereits standardmäßig.

Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle Phishing-Warnungen des Webbrowser inaktiv.

"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.

Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.

"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die für die Refinanzierung der deutschen Schuldengebirge zuständig ist, kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur kollektiven Erarbeitung eines besseren Managements der Staatsschulden."

Links: