Introduction
Introduction Statistics Contact Development Disclaimer Help
# taz.de -- Bundesfinanzagentur gehackt: Günter Schild ist offline
> Der Chaos Computer Club hat auf erhebliche Sicherheitslücken beim
> Internetangebot der Bundesfinanzagentur hingewiesen. Diese ist "not
> amused" und hat ihre Seite erstmal abgeschaltet.
Bild: Ein Auftritt, der vorerst vorüber ist: Die Startseite der Bundesfinanzag…
BERLIN taz | Die [1][Bundesfinanzagentur] ist vorerst offline - wegen
"Wartungsarbeiten", wie es auf der Website heißt. Der Chaos Computer Club
hatte gestern auf [2][ernsthafte Sicherheitslücken] bei der bundeseigenen
Firma hingewiesen, von denen auch das Internet-Banking betroffen sei.
Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins das
Content Management System der Bundesrepublik Deutschland Finanzagentur GmbH
überprüft. Frank Rosenberg, einer der Sprecher des CCC, sagte, es sei
möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die
Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die
ihre persönlichen Zugriffsdaten hätten abgreifen können - eine Methode des
digitalen Diebstahls, die als "Phishing" bekannt ist.
Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine
grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die
über die Zugangsdaten verfügten, volle Schreibrechte erlaubten.
Die Bundesfinanzagentur residiert im vornehmen Frankfurter Mertonviertel.
Ihr Maskottchen heißt Günter Schild, eine Schildkröte, die für die
Anlageprodukte des Unternehmens wirbt. Motto: die "entspannendste
Geldanlage Deutschlands". Das Magazin [3][Panorama] nannte die Angestellten
die finanzielle "Elitetruppe der Bundesrepublik Deutschland", deren Aufgabe
es sei, dem Bund so effizient wie möglich Geld zu verschaffen.
Die Firma versteht sich als zentraler Dienstleister für alle
Geldmarktgeschäfte, das Schuldenmanagement und die Kreditaufnahme des
Bundes. Sie verwaltet auch Depots von Bundeswertpapieren und konkurriert
mit den Banken um Gelder der Privatanleger. Alle Gewinne fließen in den
Bundeshaushalt.
Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert.
Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das
Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten
und keinerlei Mängel festgestellt. Frank
Rosenberg äußerte gegenüber der taz den Verdacht, auf Grund der
vorliegenden technischen Details könne dieser "Sicherheits-Check" seitens
des BSI auch nur darin bestanden haben, zu überprüfen, ob die Website
online und alle Systeme verfügbar seien.
Jörg Müller, ein Sprecher der Finanzagentur, teilte mit, man habe schon vor
dem Tipp des CCC, es gebe Sicherheitslücken im System, Verdacht geschöpft.
"Interne Systeme" hätten das angezeigt: Die Website sei "offenbar Ziel
einer Webattacke geworden". Man wisse noch nicht, ob es zu einem Missbrauch
von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet
worden. Die Finanzagentur habe Strafanzeige gegen Unbekannt bei der
Frankfurter Staatsanwaltschaft erstattet.
Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die
Bundesfinanzagentur hat externe Firmen mit ihrer Internet-Präsenz
beauftragt. Ob diese sich an bestimmte Sicherheitsstandards halten, obliegt
dem Auftraggeber.
Das Bundesfinanzministierum als alleiniger Gesellschafter der Finanzagentur
sei dafür nicht zuständig, sagt Martin Kreienbaum, der Presseprecher des
BMF. Fest steht, dass die hessische Firma [4][Bluemars] 2009 den Wettbewerb
zum Relaunch des [5][Intenet-Präsenz der Bundesfinanzagentur] gewonnen hat.
Laut Jörg Müller sei Bluemars aber nicht mehr für die Website
veranwortlich.
Der CCC weist aber darauf hin, dass die festgestellten Mängel seit
mindestens 2009 bestünden. Die Finanzagentur der Bundesrepubnlik
Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein. Man
will sichergehen, dass Missbrauch auch in der Zukunft ausgeschlossen werden
kann.
Frank Rosenbaum vom CCC gibt zu, dass die Sicherheitslücken nicht sehr
schwerwiegend gewesen seien. Ein Verlust von Geld sei nicht denkbar: Die
Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihre
eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur sei in
diesen Dingen offenbar "sehr konservativ". Bei wichtigen Veränderungen des
Kontos bekämen die Kunden immer noch einen Brief - per Post.
11 Mar 2011
## LINKS
[1] http://www.bwp-direkt.de/
[2] http://www.ccc.de/de/updates/2011/bundesfinanzagentur
[3] http://www.youtube.com/watch?v=7pEB_s3--eI
[4] http://www.bluemars.net/de/
[5] http://www.blogspan.net/presse/etatmeldung-finanzagentur-des-bundes-beauftr…
## AUTOREN
Burkhard Schröder
## ARTIKEL ZUM THEMA
You are viewing proxied material from taz.de. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.