taz_akt_351413315530

Bundesfinanzagentur gehackt

PHISHING Die Institution ist offline – wegen „Wartungsarbeiten“, wie es auf der Website heißt

BERLIN taz | Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins Chaos Computer Club (CCC) die Webseite der Bundesfinanzagentur überprüft. CCC-Sprecher Frank Rosengart sagte, es sei möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die ihre persönlichen Zugriffsdaten hätten abgreifen können – Schlagwort „Phishing“

Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die über die Zugangsdaten verfügten, volle Schreibrechte erlaubten. Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert. Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten und keinerlei Mängel festgestellt. Jörg Müller, ein Sprecher der Finanzagentur, sagte, man wisse noch nicht, ob es zu einem Missbrauch von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet worden. Die Finanzagentur habe Strafanzeige gegen unbekannt bei der Frankfurter Staatsanwaltschaft erstattet.

Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die Bundesfinanzagentur hat externe Firmen mit ihrer Internetpräsenz beauftragt. Ob diese sich an Sicherheitsstandards halten, obliegt dem Auftraggeber. Das Bundesfinanzministerium als alleiniger Gesellschafter der Finanzagentur sei dafür nicht zuständig, sagt Martin Kreienbaum, der Pressesprecher des BMF. Der CCC weist darauf hin, dass die Mängel seit mindestens 2009 bestanden. Die Finanzagentur der Bundesrepublik Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein.

Man will sichergehen, dass Missbrauch auch in Zukunft ausgeschlossen werden kann. Glück im Unglück: Die Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihr eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur ist in diesen Dingen sehr konservativ. Bei wichtigen Veränderungen des Kontos bekommen die Kunden einen Brief – per Post. BURKHARD SCHRÖDER