Viele Finanzämter mit unsicheren Websites

Über 160 Finanzämter in Hamburg, Hessen, Baden Württemberg und Brandenburg hatten ganz offensichtliche Sicherheitslücken auf ihren Web-Seiten.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Lesezeit: 1 Min.

Die Webseiten von über 160 Finanzämtern wiesen elementare Sicherheitslücken auf.

Leser von heise Security hat aus Neugier die Web-Seiten diverser Finanzämter etwas genauer angeschaut und dabei quasi auf Anhieb ernste Sicherheitslücken entdeckt. Betroffen waren über 160 Finanzämter in Hamburg, Hessen, Baden Württemberg und Brandenburg.

Bei den Lücken handelte es sich um so genannte Cross Site Scripting Probleme (XSS). Dabei filtert eine Server-Applikation wie die Suche die Benutzereingaben nicht ausreichend und lässt HTML-Code oder sogar Javascript durchrutschen. Angriffe erfolgen dann jedoch nicht auf dem Server, sondern quasi über Bande im Web-Browser der Anwender. Warum das trotzdem ein ernstes Problem für Sicherheit und Privatsphäre ist, erläutert der Artikel Passwortklau für Dummies.

Patrik Fehrenbach und Pascal Evers, die die Lücken entdeckt hatten, reichten diese Information an heise Security weiter, woraufhin wir das Team von CERT-Bund kontaktierten. Die übernahmen die mühselige Aufgabe, die Betreiber zu informieren, die dann auch innerhalb weniger Wochen Gegenmaßnahmen ergriffen. Beängstigend an der Sache ist, dass in allen Fällen die auf der jeweiligen Hauptseite angebotene Suchfunktion auf triviale Weise anfällig war. Dort mal einen Test-String wie

'"><h1>XSS

einzugeben, ist das erste, was jeder macht, der einer Web-Seite auf den Zahn fühlen will. Wenn schon dieser Test Erfolg hat, deutet das darauf hin, dass noch nie jemand die Seiten ernsthaft auf Sicherheit untersucht hat und eine systematische Suche viele weitere Probleme zu Tage fördern wird. (ju)