Webserver von niederländischer CA kompromittiert

Der Webserver des niederländischen Zertifikatsherausgebers Gemnet ist gehackt worden. Das berichten niederländische Medien. Der anonyme Hacker verschaffte sich Zugang zur Datenbank, indem er eine PHPMyAdmin-Installation zur Verwaltung der Datenbank nutzte. Laut Bericht soll die Datenbank nicht mit einem Passwort gesichert gewesen sein.

Der virtuelle Einbrecher informierte darauf eine bekannte IT-Nachrichten-Website über das Datenleck. Diese benachrichtige die Muttergesellschaft von Gemnet, dem niederländischen Telekommunikationsriesen KPN, der eine sofortige Untersuchung veranlasste. Ähnlich wie DigiNotar stellt Gemnet Zertifikate für die niederländische PKI aus.

Durch die Sicherheitslücke und ein schwaches Administrator-Kennwort soll es dem Hacker gelungen sein, die Kontrolle über den Webserver zu erlangen. Auf diesem fand der Eindringling sicherheitsrelevante Informationen vor, darunter technische Details zum VPN, das KPN mit diversen niederländischen Unternehmen sowie öffentlichen Einrichtungen und Behörden wie der Polizei, dem Finanzamt und dem Ministerium für Sicherheit und Justiz verbindet.

Aus den gefundenen Dokumenten geht weiter hervor, dass der Zugang zum VPN aus den Behörden nicht in allen Fällen verschlüsselt stattfand. Auch sollen unsichere Tools wie telnet als Administratorzugang zur Firewall eingesetzt worden sein. In einer offiziellen Mitteilung zum Vorfall betont KPN, dass der Hack nur den Webserver und nicht die PKI-Server betreffe. Es soll deshalb nicht möglich gewesen sein, unberechtigt Zertifikate auszustellen. Die Gemnet-Website hat KPN während die Untersuchung nach dem Umfang der Sicherheitslücke läuft vom Netz getrennt. (dab)