Sicherheitslecks auf Website der Bundesfinanzagentur

Laut Chaos Computer Club (CCC) hatte man einen anonymen Hinweis auf Sicherheitslecks bekommen und daher Website und Webserver der Bundesfinanzagentur überprüft. Das erschreckende Ergebnis: über einen Dateimanager, den der Finanzdienstleister selbst bereitstellte, konnte jeder Internet-Nutzer nicht nur beliebige Angebote auf der Website manipulieren, sondern auch eigene Angebote einstellen. Zudem war der Webserver fehlerhaft konfiguriert und hätte von einem Angreifer umfunktioniert werden können, um Benutzernamen, Passwörter und PINs abzufangen. Anders als bei normalen Phishingseiten hätte das Opfer keine Chance gehabt herauszufinden, dass die Daten mitgelesen werden.

Ob es tatsächlich Manipulationen an der Website gab oder ob Daten entwendet wurden, ist unklar. Die Lücke sei sehr schwerwiegend, erklärte CCC-Sprecher Dirk Engling, da schon mit sehr einfachen Phishing-Methoden alle Zugangsdaten der Kunden hätten ausgespäht werden können. »Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel.«

Der CCC wies die Bundesfinanzagentur auf die Sicherheitsprobleme hin. Diese nahm daraufhin ihre Website vom Netz – offiziell »wegen Wartungsarbeiten«, wie eine Statusseite verkündet. Gegenüber dem CCC sagte man, die Website sei schon lange in diesem Zustand gewesen – die Webagentur habe das so geliefert und man habe nie etwas geändert. Trotz Sicherheitsberater und Hilfe durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hätte man bisher nie Probleme an der Sicherheitsimplementierung identifiziert.

Es handele sich um kein Versehen, sondern grobe Fahrlässigkeit, so Engling. »Für eine Agentur, die für die Refinanzierung der deutschen Schuldengebirge zuständig ist, kommt das einem Offenbarungseid gleich.«