Bundesfinanzagentur gehackt: Günter Schild ist offline
Der Chaos Computer Club hat auf erhebliche Sicherheitslücken beim Internetangebot der Bundesfinanzagentur hingewiesen. Diese ist "not amused" und hat ihre Seite erstmal abgeschaltet.
BERLIN taz | Die Bundesfinanzagentur ist vorerst offline - wegen "Wartungsarbeiten", wie es auf der Website heißt. Der Chaos Computer Club hatte gestern auf ernsthafte Sicherheitslücken bei der bundeseigenen Firma hingewiesen, von denen auch das Internet-Banking betroffen sei.
Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins das Content Management System der Bundesrepublik Deutschland Finanzagentur GmbH überprüft. Frank Rosenberg, einer der Sprecher des CCC, sagte, es sei möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die ihre persönlichen Zugriffsdaten hätten abgreifen können - eine Methode des digitalen Diebstahls, die als "Phishing" bekannt ist.
Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die über die Zugangsdaten verfügten, volle Schreibrechte erlaubten.
Die Bundesfinanzagentur residiert im vornehmen Frankfurter Mertonviertel. Ihr Maskottchen heißt Günter Schild, eine Schildkröte, die für die Anlageprodukte des Unternehmens wirbt. Motto: die "entspannendste Geldanlage Deutschlands". Das Magazin Panorama nannte die Angestellten die finanzielle "Elitetruppe der Bundesrepublik Deutschland", deren Aufgabe es sei, dem Bund so effizient wie möglich Geld zu verschaffen.
Die Firma versteht sich als zentraler Dienstleister für alle Geldmarktgeschäfte, das Schuldenmanagement und die Kreditaufnahme des Bundes. Sie verwaltet auch Depots von Bundeswertpapieren und konkurriert mit den Banken um Gelder der Privatanleger. Alle Gewinne fließen in den Bundeshaushalt.
Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert. Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten und keinerlei Mängel festgestellt. Frank
Rosenberg äußerte gegenüber der taz den Verdacht, auf Grund der vorliegenden technischen Details könne dieser "Sicherheits-Check" seitens des BSI auch nur darin bestanden haben, zu überprüfen, ob die Website online und alle Systeme verfügbar seien.
Jörg Müller, ein Sprecher der Finanzagentur, teilte mit, man habe schon vor dem Tipp des CCC, es gebe Sicherheitslücken im System, Verdacht geschöpft. "Interne Systeme" hätten das angezeigt: Die Website sei "offenbar Ziel einer Webattacke geworden". Man wisse noch nicht, ob es zu einem Missbrauch von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet worden. Die Finanzagentur habe Strafanzeige gegen Unbekannt bei der Frankfurter Staatsanwaltschaft erstattet.
Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die Bundesfinanzagentur hat externe Firmen mit ihrer Internet-Präsenz beauftragt. Ob diese sich an bestimmte Sicherheitsstandards halten, obliegt dem Auftraggeber.
Das Bundesfinanzministierum als alleiniger Gesellschafter der Finanzagentur sei dafür nicht zuständig, sagt Martin Kreienbaum, der Presseprecher des BMF. Fest steht, dass die hessische Firma Bluemars 2009 den Wettbewerb zum Relaunch des Intenet-Präsenz der Bundesfinanzagentur gewonnen hat. Laut Jörg Müller sei Bluemars aber nicht mehr für die Website veranwortlich.
Der CCC weist aber darauf hin, dass die festgestellten Mängel seit mindestens 2009 bestünden. Die Finanzagentur der Bundesrepubnlik Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein. Man will sichergehen, dass Missbrauch auch in der Zukunft ausgeschlossen werden kann.
Frank Rosenbaum vom CCC gibt zu, dass die Sicherheitslücken nicht sehr schwerwiegend gewesen seien. Ein Verlust von Geld sei nicht denkbar: Die Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihre eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur sei in diesen Dingen offenbar "sehr konservativ". Bei wichtigen Veränderungen des Kontos bekämen die Kunden immer noch einen Brief - per Post.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Hoffnung und Klimakrise
Was wir meinen, wenn wir Hoffnung sagen
Abschiebung erstmal verhindert
Pflegeheim muss doch nicht schließen
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an
Künstler Mike Spike Froidl über Punk
„Das Ziellose, das ist doch Punk“
+++ Nachrichten im Ukraine-Krieg +++
Slowakischer Regierungschef bei Putin im Kreml
Negativity Bias im Journalismus
Ist es wirklich so schlimm?