# taz.de -- Bundesfinanzagentur gehackt: Günter Schild ist offline | |
> Der Chaos Computer Club hat auf erhebliche Sicherheitslücken beim | |
> Internetangebot der Bundesfinanzagentur hingewiesen. Diese ist "not | |
> amused" und hat ihre Seite erstmal abgeschaltet. | |
Bild: Ein Auftritt, der vorerst vorüber ist: Die Startseite der Bundesfinanzag… | |
BERLIN taz | Die [1][Bundesfinanzagentur] ist vorerst offline - wegen | |
"Wartungsarbeiten", wie es auf der Website heißt. Der Chaos Computer Club | |
hatte gestern auf [2][ernsthafte Sicherheitslücken] bei der bundeseigenen | |
Firma hingewiesen, von denen auch das Internet-Banking betroffen sei. | |
Nach einem anonymen Hinweis hatten Mitglieder des Hacker-Vereins das | |
Content Management System der Bundesrepublik Deutschland Finanzagentur GmbH | |
überprüft. Frank Rosenberg, einer der Sprecher des CCC, sagte, es sei | |
möglich gewesen, die Angebote der Finanzagentur zu manipulieren oder die | |
Nutzer des Internet-Angebots ohne deren Wissen auf Websites umzuleiten, die | |
ihre persönlichen Zugriffsdaten hätten abgreifen können - eine Methode des | |
digitalen Diebstahls, die als "Phishing" bekannt ist. | |
Der Datenklau funktionierte auch deshalb, weil die Agentur dem Nutzer eine | |
grafische Oberfläche für die Dateiverwaltung anbot, die Unbefugten, die | |
über die Zugangsdaten verfügten, volle Schreibrechte erlaubten. | |
Die Bundesfinanzagentur residiert im vornehmen Frankfurter Mertonviertel. | |
Ihr Maskottchen heißt Günter Schild, eine Schildkröte, die für die | |
Anlageprodukte des Unternehmens wirbt. Motto: die "entspannendste | |
Geldanlage Deutschlands". Das Magazin [3][Panorama] nannte die Angestellten | |
die finanzielle "Elitetruppe der Bundesrepublik Deutschland", deren Aufgabe | |
es sei, dem Bund so effizient wie möglich Geld zu verschaffen. | |
Die Firma versteht sich als zentraler Dienstleister für alle | |
Geldmarktgeschäfte, das Schuldenmanagement und die Kreditaufnahme des | |
Bundes. Sie verwaltet auch Depots von Bundeswertpapieren und konkurriert | |
mit den Banken um Gelder der Privatanleger. Alle Gewinne fließen in den | |
Bundeshaushalt. | |
Bei der Finanzagentur ist man über die Vorwürfe des CCC nicht amüsiert. | |
Manfred Ehmer, der Sicherheitsbeauftragte, teilte dem CCC mit, das | |
Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sie beraten | |
und keinerlei Mängel festgestellt. Frank | |
Rosenberg äußerte gegenüber der taz den Verdacht, auf Grund der | |
vorliegenden technischen Details könne dieser "Sicherheits-Check" seitens | |
des BSI auch nur darin bestanden haben, zu überprüfen, ob die Website | |
online und alle Systeme verfügbar seien. | |
Jörg Müller, ein Sprecher der Finanzagentur, teilte mit, man habe schon vor | |
dem Tipp des CCC, es gebe Sicherheitslücken im System, Verdacht geschöpft. | |
"Interne Systeme" hätten das angezeigt: Die Website sei "offenbar Ziel | |
einer Webattacke geworden". Man wisse noch nicht, ob es zu einem Missbrauch | |
von Kundendaten gekommen sei. Die Ermittlungsbehörden seien eingeschaltet | |
worden. Die Finanzagentur habe Strafanzeige gegen Unbekannt bei der | |
Frankfurter Staatsanwaltschaft erstattet. | |
Wer letztlich für die Sicherheitslücken verantwortlich war, ist unklar. Die | |
Bundesfinanzagentur hat externe Firmen mit ihrer Internet-Präsenz | |
beauftragt. Ob diese sich an bestimmte Sicherheitsstandards halten, obliegt | |
dem Auftraggeber. | |
Das Bundesfinanzministierum als alleiniger Gesellschafter der Finanzagentur | |
sei dafür nicht zuständig, sagt Martin Kreienbaum, der Presseprecher des | |
BMF. Fest steht, dass die hessische Firma [4][Bluemars] 2009 den Wettbewerb | |
zum Relaunch des [5][Intenet-Präsenz der Bundesfinanzagentur] gewonnen hat. | |
Laut Jörg Müller sei Bluemars aber nicht mehr für die Website | |
veranwortlich. | |
Der CCC weist aber darauf hin, dass die festgestellten Mängel seit | |
mindestens 2009 bestünden. Die Finanzagentur der Bundesrepubnlik | |
Deutschland wird auf absehbare Zeit nicht mehr online erreichbar sein. Man | |
will sichergehen, dass Missbrauch auch in der Zukunft ausgeschlossen werden | |
kann. | |
Frank Rosenbaum vom CCC gibt zu, dass die Sicherheitslücken nicht sehr | |
schwerwiegend gewesen seien. Ein Verlust von Geld sei nicht denkbar: Die | |
Kunden hätten bei einem Missbrauch ihrer Daten ihr Geld nur wieder auf ihre | |
eigenes Referenzkonto zurücküberwiesen bekommen. Die Finanzagentur sei in | |
diesen Dingen offenbar "sehr konservativ". Bei wichtigen Veränderungen des | |
Kontos bekämen die Kunden immer noch einen Brief - per Post. | |
11 Mar 2011 | |
## LINKS | |
[1] http://www.bwp-direkt.de/ | |
[2] http://www.ccc.de/de/updates/2011/bundesfinanzagentur | |
[3] http://www.youtube.com/watch?v=7pEB_s3--eI | |
[4] http://www.bluemars.net/de/ | |
[5] http://www.blogspan.net/presse/etatmeldung-finanzagentur-des-bundes-beauftr… | |
## AUTOREN | |
Burkhard Schröder | |
## ARTIKEL ZUM THEMA |