summaryrefslogtreecommitdiff
path: root/updates/2011
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2011')
-rw-r--r--updates/2011/bundesfinanzagentur.md78
1 files changed, 78 insertions, 0 deletions
diff --git a/updates/2011/bundesfinanzagentur.md b/updates/2011/bundesfinanzagentur.md
new file mode 100644
index 00000000..7700ada2
--- /dev/null
+++ b/updates/2011/bundesfinanzagentur.md
@@ -0,0 +1,78 @@
1title: Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin
2date: 2011-03-10 17:59:00
3updated: 2011-03-10 18:20:39
4author: admin
5tags: update, pressemitteilung
6
7Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage. Auch das Internet-Banking ist betroffen.
8
9<!-- TEASER_END -->
10
11Auf den Internetseiten der Bundesfinanzagentur \[1\] konnte jahrelang
12jeder Internetnutzer mit seinem Webbrowser eigene Angebote für
13Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern
14und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert
15wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden
16dadurch erleichtert, daß die Agentur dem Surfer einen grafischen
17Datenmanager \[2\] anbot.
18
19Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale
20Dienstleister für die Kreditaufnahme des Bundes durch
21Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste
22vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze
23und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen
24Bundesbank aus.
25
26Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls
27schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde,
28kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das
29Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet
30Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration
31des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf
32"Internet Banking" geschieht. Er kann den Webserver so umprogrammieren,
33daß dieser als Zwischenpuffer für das Webbanking-System funktioniert –
34ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte
35Apache-Webserversoftware unterstützt die nötigen Funktionen bereits
36standardmäßig.
37
38Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den
39Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell
40mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu
41bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit
42herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der
43Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle
44Phishing-Warnungen des Webbrowser inaktiv.
45
46"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr
47einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten
48ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte
49Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb
50dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel",
51erläuterte CCC-Sprecher Dirk Engling.
52
53Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche
54Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die
55Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig
56fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die
57Webagentur habe das so geliefert" – und es sei nie etwas daran geändert
58worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch
59das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden
60bisher keine Probleme an der Systemimplementierung identifiziert, sagte
61der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem
62CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC
63mit, daß der Server zwar einmal mit einem Penetrationstest auf
64Sicherheitsprobleme von außen untersucht wurde, es seien aber keine
65Mängel gefunden worden.
66
67"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber
68gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist
69kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die
70für die Refinanzierung der deutschen Schuldengebirge zuständig ist,
71kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk
72Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur
73kollektiven Erarbeitung eines besseren Managements der Staatsschulden."
74
75Links: \[1\]
76[http://www.bundeswertpapiere.de](http://www.bundeswertpapiere.de/) und
77[http://www.deutsche-finanzagentur.de](http://www.deutsche-finanzagentur.de/)
78\[2\] <http://www.bundeswertpapiere.de/fileadmin/filedfa.php>