Bundesfinanzagentur gehackt: Günter Schild ist offline
Der Chaos Computer Club hat auf erhebliche Sicherheitslücken beim Internetangebot der Bundesfinanzagentur hingewiesen. Diese ist "not amused" und hat ihre Seite erstmal abgeschaltet.
Ein Auftritt, der vorerst vorüber ist: Die Startseite der Bundesfinanzagentur. Bild: bundesfinanzagentur.de /screenshot
BERLIN taz | Die Bundesfinanzagentur ist vorerst offline - wegen "Wartungsarbeiten", wie es auf der Website heißt. Der Chaos Computer Club hatte gestern auf ernsthafte Sicherheitslücken bei der bundeseigenen Firma hingewiesen, von denen auch das Internet-Banking betroffen sei.
Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins das Content Management System der Bundesrepublik Deutschland Finanzagentur GmbH überprüft. Frank Rosenberg, einer der Sprecher des CCC, sagte, es sei möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die ihre persönlichen Zugriffsdaten hätten abgreifen können - eine Methode des digitalen Diebstahls, die als "Phishing" bekannt ist.
Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die über die Zugangsdaten verfügten, volle Schreibrechte erlaubten.
Die Bundesfinanzagentur residiert im vornehmen Frankfurter Mertonviertel. Ihr Maskottchen heißt Günter Schild, eine Schildkröte, die für die Anlageprodukte des Unternehmens wirbt. Motto: die "entspannendste Geldanlage Deutschlands". Das Magazin Panorama nannte die Angestellten die finanzielle "Elitetruppe der Bundesrepublik Deutschland", deren Aufgabe es sei, dem Bund so effizient wie möglich Geld zu verschaffen.
Die Firma versteht sich als zentraler Dienstleister für alle Geldmarktgeschäfte, das Schuldenmanagement und die Kreditaufnahme des Bundes. Sie verwaltet auch Depots von Bundeswertpapieren und konkurriert mit den Banken um Gelder der Privatanleger. Alle Gewinne fließen in den Bundeshaushalt.
Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert. Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten und keinerlei Mängel festgestellt. Frank
Rosenberg äußerte gegenüber der taz den Verdacht, auf Grund der vorliegenden technischen Details könne dieser "Sicherheits-Check" seitens des BSI auch nur darin bestanden haben, zu überprüfen, ob die Website online und alle Systeme verfügbar seien.
Jörg Müller, ein Sprecher der Finanzagentur, teilte mit, man habe schon vor dem Tipp des CCC, es gebe Sicherheitslücken im System, Verdacht geschöpft. "Interne Systeme" hätten das angezeigt: Die Website sei "offenbar Ziel einer Webattacke geworden". Man wisse noch nicht, ob es zu einem Missbrauch von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet worden. Die Finanzagentur habe Strafanzeige gegen Unbekannt bei der Frankfurter Staatsanwaltschaft erstattet.
Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die Bundesfinanzagentur hat externe Firmen mit ihrer Internet-Präsenz beauftragt. Ob diese sich an bestimmte Sicherheitsstandards halten, obliegt dem Auftraggeber.
Das Bundesfinanzministierum als alleiniger Gesellschafter der Finanzagentur sei dafür nicht zuständig, sagt Martin Kreienbaum, der Presseprecher des BMF. Fest steht, dass die hessische Firma Bluemars 2009 den Wettbewerb zum Relaunch des Intenet-Präsenz der Bundesfinanzagentur gewonnen hat. Laut Jörg Müller sei Bluemars aber nicht mehr für die Website veranwortlich.
Der CCC weist aber darauf hin, dass die festgestellten Mängel seit mindestens 2009 bestünden. Die Finanzagentur der Bundesrepubnlik Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein. Man will sichergehen, dass Missbrauch auch in der Zukunft ausgeschlossen werden kann.
Frank Rosenbaum vom CCC gibt zu, dass die Sicherheitslücken nicht sehr schwerwiegend gewesen seien. Ein Verlust von Geld sei nicht denkbar: Die Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihre eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur sei in diesen Dingen offenbar "sehr konservativ". Bei wichtigen Veränderungen des Kontos bekämen die Kunden immer noch einen Brief - per Post.
Leser*innenkommentare
Herbert
Gast
Am falschen Ende gespart.
Was hier passierte ist grob fahrlässig. Aber nach meiner Einschätzung wurden die Weichen für diesen GAU bereits bei der Systemauswahl gelegt: das kostenlose TYPO3 gerät wegen seiner Verbeitung und der Basistechnologie PHP immer wieder gerne ins Fadenkreuz von (Möchtegern-) Hackern. Behörden mit sicherheitskritischen Anwendungen sind für diese Zielgruppe besonders interessant (siehe auch Schäuble Website).
Und zweitens, hat sich die Finanzagentur in den behördentypischen Ausschreibungen für den billigsten, wohl aber nicht besten Anbieter entschieden. Das hat sich nun gerecht.
http://www.wuv.de/nachrichten/agenturen/bippesbrandao_gewinnt_bundes_finanzagentur
Jo0
Gast
IhR Heute, 18 Uhr Alexanderplatz/ #Berlin: Trauermarsch für Japan und gegen Atomenergie... #AKW #Atom
Volker Birk
Gast
Der Kommentar von Herrn Müller überzeugt nicht - als ich bei der Bundesfinanzagentur anrief, um sie in Kenntnis zu setzen, waren zunächst stundenlang weder aus der Technik noch für Sicherheit Verantwortliche zu erreichen.
Erst als wir das BSI eingeschaltet hatten, konnte ich mit technischen Mitarbeitern sprechen.
Sowohl der zuständige Host-Administrator als auch Herr Ehmer, der Sicherheitsbeauftragte, waren völlig überrascht. Ich frage mich, wo Herr Müller seine Informationen hernimmt.
Ob das System bereits Opfer einer "Webattacke" geworden ist oder nicht, sei dahingestellt. Jedenfalls wussten die da nichts von.
So wie ich den Techniker dort verstanden habe, fand auch keinerlei Prüfprozess statt, was die Webagentur da anliefert. Das, was jene auf den Server kippten, ging laut diesen Aussagen auch so ungeprüft online.
Kein Redaktionsprozess, keine technische Prüfung, kein Vieraugenprinzip, keine Sicherheitsprüfung laut Aussagen von Vertretern der Bundesfinanzagentur, mit Ausnahme eines Penetrationstests, der von extern durchgeführt wurde (eine im Angesicht des völlig fehlenden Sicherheitskonzeptes eher skurril zu nennende Maßnahme).
Mir haben Herr Ehmer und der Techniker jedenfalls bestätigt, dass weder die Experten des BSI noch der beauftragte "Sicherheitsberater" noch die Leute vom Penetrationstest jemals einen Blick auf den Server geworfen hätten.
Ich hab extra zweimal nachgefragt, weil ichs nicht glauben konnte.
Die Bundesfinanzagentur ist nicht "Opfer", und keinesfalls ist die externe Webagentur schuld.
Denn wenn man als solch ein Institut nicht einmal die grundlegensten Sicherheitsmassnahmen ergreift, falls die Webagentur einen Fehler macht (und Webagenturen sind keinesfalls bekannt dafür, dass sie extreme technische Kompetenz oder gar sicherheitstechnische hätten, wir reden hier ja über die "Kreativen"), dann braucht man sich nicht zu wundern, wenn dann sowas bei raus kommt.
Screenshots, die den offenen Server zeigen, gibt's hier:
http://www.auchdieserschwachsinnmussinsinternet.de/2011-03/#s1299930182
Ich finde es skandalös, dass Vertreter der Bundesfinanzagentur uns gegenüber solche Aussagen machen, und dann der Presse gegenüber ganz anders reden.
Wer letztlich für die Sicherheitslücken verantwortlich ist, ist laut den Aussagen der genannten Herren eigentlich völlig klar.
Im übrigen sind die Lücken sehr schwerwiegend gewesen: so waren nicht nur das Einstellen eigener Angebote und die beliebige Manipulation bestehender Angebote der Bundesfinanzagentur möglich, sondern man konnte sogar eigenen Code auf dem Server ausführen.
Auf dem Server, der gleichzeitig das Webportal mit Link ins Online-Banking darstellt. Damit konnte man den Server der Bundesfinanzagentur selber dazu umkonfigurieren, Phishing auf die Zugangsdaten im Online-Banking zu betreiben. Serverseitiges Phishing auf dem Original-Server ist durch kein Verfahren zu entdecken.
Das hatte mich auch bewogen, nachdem ich bei der Agentur stundenlang niemand erreichte, lieber das Lagezentrum des BSI zu informieren, damit da schnell etwas passiert - schliesslich reden wir über das Schuldenmanagement der Staatsschulden der Bundesrepublik Deutschland und nicht über eine kleine lokale Raiffeisenbank.
Viele Grüsse,
Volker Birk
Ingo
Gast
Danke TAZ. Für den von euch genannten Beitrag von Panorama. Dafür sind Leute entlassen worden.
Nennt es endlich beim Namen: "BRD Finanzagentur GmbH".
Ich freue mich über jeden Menschen, der es endlich kapiert
was diese Agentur ist und was sie anrichtet.
Über jeden Menschen, der das Grundgesetz liest und versteht. Diese Volksveraxxxxxng muss gestoppt werden.
Die Bundeshauptstadt ist Berlin und nicht Frankfurt.
Weltbürger in Deutschland erkennt euer Gewissen, dass Souverintät wichtig ist. Traut euch endlich einmal über alles nachzudenken. Verfassung und Staatsbürgerschaft,
sind keine Begriffe die nur dazu da sind um linke Menschen zu ärgern.
Solidarität mit allen Mitbürgern und Menschen aus dem Ausland, die auf diese Misstände hinweisen.
Bewohner Deutschlands wacht endlich auf!
BürgerLars
Gast
Die Finanzagentur soll "die Elite" sein. Sehr interessant. Die Finanzagentur ist "mal wieder" so eine Zwischengesellschaft oder privatisierte Gesellschaft, die Staatsaufgaben erfüllt und uns (den Steuerzahler) jährlich rund 30 Mio Euro kostet. Aber was sind schon 30Mio Euro im Jahr? Ein Klacks.
Frankfurter
Gast
Also das Frankfurter Mertonviertel ist ja vieles - aber bestimmt nicht vornehm...
Das sollte der zuständige Redakteur beim nächsten Mal vielleicht nur bei entsprechender Ortskenntnis mit ausschmückenden Adjektiven verstehen....
Andreas K.
Gast
Frank Rosenberg, Frank Rosenbaum - oder vielleicht doch Frank Rosengart?