 |
# taz.de -- Bundesfinanzagentur gehackt: Günter Schild ist offline |
|
|
|
> Der Chaos Computer Club hat auf erhebliche Sicherheitslücken beim |
|
> Internetangebot der Bundesfinanzagentur hingewiesen. Diese ist "not |
|
> amused" und hat ihre Seite erstmal abgeschaltet. |
|
|
 |
Bild: Ein Auftritt, der vorerst vorüber ist: Die Startseite der Bundesfinanzag… |
|
|
|
BERLIN taz | Die [1][Bundesfinanzagentur] ist vorerst offline - wegen |
|
"Wartungsarbeiten", wie es auf der Website heißt. Der Chaos Computer Club |
|
hatte gestern auf [2][ernsthafte Sicherheitslücken] bei der bundeseigenen |
|
Firma hingewiesen, von denen auch das Internet-Banking betroffen sei. |
|
|
|
Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins das |
|
Content Management System der Bundesrepublik Deutschland Finanzagentur GmbH |
|
überprüft. Frank Rosenberg, einer der Sprecher des CCC, sagte, es sei |
|
möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die |
|
Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die |
|
ihre persönlichen Zugriffsdaten hätten abgreifen können - eine Methode des |
|
digitalen Diebstahls, die als "Phishing" bekannt ist. |
|
|
|
Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine |
|
grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die |
|
über die Zugangsdaten verfügten, volle Schreibrechte erlaubten. |
|
|
|
Die Bundesfinanzagentur residiert im vornehmen Frankfurter Mertonviertel. |
|
Ihr Maskottchen heißt Günter Schild, eine Schildkröte, die für die |
|
Anlageprodukte des Unternehmens wirbt. Motto: die "entspannendste |
|
Geldanlage Deutschlands". Das Magazin [3][Panorama] nannte die Angestellten |
|
die finanzielle "Elitetruppe der Bundesrepublik Deutschland", deren Aufgabe |
|
es sei, dem Bund so effizient wie möglich Geld zu verschaffen. |
|
|
|
Die Firma versteht sich als zentraler Dienstleister für alle |
|
Geldmarktgeschäfte, das Schuldenmanagement und die Kreditaufnahme des |
|
Bundes. Sie verwaltet auch Depots von Bundeswertpapieren und konkurriert |
|
mit den Banken um Gelder der Privatanleger. Alle Gewinne fließen in den |
|
Bundeshaushalt. |
|
|
|
Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert. |
|
Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das |
|
Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten |
|
und keinerlei Mängel festgestellt. Frank |
|
|
|
Rosenberg äußerte gegenüber der taz den Verdacht, auf Grund der |
|
vorliegenden technischen Details könne dieser "Sicherheits-Check" seitens |
|
des BSI auch nur darin bestanden haben, zu überprüfen, ob die Website |
|
online und alle Systeme verfügbar seien. |
|
|
|
Jörg Müller, ein Sprecher der Finanzagentur, teilte mit, man habe schon vor |
|
dem Tipp des CCC, es gebe Sicherheitslücken im System, Verdacht geschöpft. |
|
"Interne Systeme" hätten das angezeigt: Die Website sei "offenbar Ziel |
|
einer Webattacke geworden". Man wisse noch nicht, ob es zu einem Missbrauch |
|
von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet |
|
worden. Die Finanzagentur habe Strafanzeige gegen Unbekannt bei der |
|
Frankfurter Staatsanwaltschaft erstattet. |
|
|
|
Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die |
|
Bundesfinanzagentur hat externe Firmen mit ihrer Internet-Präsenz |
|
beauftragt. Ob diese sich an bestimmte Sicherheitsstandards halten, obliegt |
|
dem Auftraggeber. |
|
|
|
Das Bundesfinanzministierum als alleiniger Gesellschafter der Finanzagentur |
|
sei dafür nicht zuständig, sagt Martin Kreienbaum, der Presseprecher des |
|
BMF. Fest steht, dass die hessische Firma [4][Bluemars] 2009 den Wettbewerb |
|
zum Relaunch des [5][Intenet-Präsenz der Bundesfinanzagentur] gewonnen hat. |
|
Laut Jörg Müller sei Bluemars aber nicht mehr für die Website |
|
veranwortlich. |
|
|
|
Der CCC weist aber darauf hin, dass die festgestellten Mängel seit |
|
mindestens 2009 bestünden. Die Finanzagentur der Bundesrepubnlik |
|
Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein. Man |
|
will sichergehen, dass Missbrauch auch in der Zukunft ausgeschlossen werden |
|
kann. |
|
|
|
Frank Rosenbaum vom CCC gibt zu, dass die Sicherheitslücken nicht sehr |
|
schwerwiegend gewesen seien. Ein Verlust von Geld sei nicht denkbar: Die |
|
Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihre |
|
eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur sei in |
|
diesen Dingen offenbar "sehr konservativ". Bei wichtigen Veränderungen des |
|
Kontos bekämen die Kunden immer noch einen Brief - per Post. |
|
|
|
11 Mar 2011 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.bwp-direkt.de/ |
|
[2] http://www.ccc.de/de/updates/2011/bundesfinanzagentur |
|
[3] http://www.youtube.com/watch?v=7pEB_s3--eI |
|
[4] http://www.bluemars.net/de/ |
|
[5] http://www.blogspan.net/presse/etatmeldung-finanzagentur-des-bundes-beauftr… |
|
|
|
## AUTOREN |
|
|
|
Burkhard Schröder |
|
|
|
## ARTIKEL ZUM THEMA |
