VPN-SchlĂĽssel von Finanzdienstleister bei eBay aufgetaucht
Im Online-Kaufhaus eBay gab es VPN-Router mit funktionierenden Zugangsdaten zum internen Netz der WĂĽstenrot & WĂĽrttembergischen AG zu kaufen.
- Lukas Grunwald
In Form kleiner Firewall-Appliances hat der Finanzdienstleistungskonzern Wüstenrot & Württembergische AG praktisch den Schlüssel für sein Unternehmensnetz aus der Hand gegeben, ohne die Schlösser auszuwechseln. Das Intranet der W&W stand Zweitbesitzern der Router offen – etwas Sachkenntnis vorausgesetzt.
Nach dem "Sofortkauf" einiger gebrauchter Firewalls der Marke Juniper Netscreen 5GT bei eBay zum Stückpreis von 19,99 Euro fiel dem Käufer auf, dass die Geräte nicht ordentlich zurückgesetzt worden waren. Sie befanden sich weder in der Default-Konfiguration noch konnte sich der neue Besitzer einloggen. Die Firewall versuchte vielmehr, via PPPoE eine Verbindung per Modem aufzubauen. In einem weiteren Test präsentierte die Netscreen sogar das dazugehörige Zugangspasswort im Klartext, offenbar wegen einer fehlerhaften PPP-Konfiguration.
Der VPN-Router konnte sogar eine IPSec-Verbindung aufbauen und verschlüsselte Datenpakete mit einer zunächst unbekannten Gegenstelle austauschen. Eine Whois-Abfrage lieferte den zugehörigen Ansprechpartner, die W&W Informatik GmbH aus Stuttgart. Es handelt sich um den hauseigenen IT-Dienstleister der Wüstenrot & Württembergischen AG.
Die umgehend von der iX alarmierte W&W Informatik hat die IPSec-Konfiguration mittlerweile geschützt. Der VPN-Zugang hätte sich dafür missbrauchen lassen, nach unsicheren Systemen im Intranet zu suchen, die interne Daten preisgeben oder auf denen sich Hintertüren oder Schadprogramme installieren lassen.
Laut W&W Informatik waren die Juniper-Netscreens bei einem Upgrade an den Lieferanten zurückgegangen. Warum sie allerdings bei eBay auftgetaucht sind, statt ordnungsgemäß entsorgt zu werden, bleibt unklar, ebenso wie der Umstand, dass Juniper die Seriennummern der Geräte auf ein Paderborner Unternehmen registriert hat und nicht auf ein schwäbisches.
Auf Anfrage bei einem der deutschen Juniper-Distributoren, der TLK aus Münster, erklärte Geschäftsführer Martin Twickler, er nehme grundsätzlich keine gebrauchten Geräte zurück. Das Entsorgen nach einem Austausch obliege vielmehr dem Kunden. Damit bleibt ihm die Verantwortung für eventuell gespeicherte, sensible Firmendaten überlassen.
Wer sicherheitsrelevante Hardware abstößt, sollte dem Entsorger oder Zweitverwerter grundsätzlich misstrauen und zuvor sämtliche Daten löschen. Sonst drohen schwere Pannen bis hin zum freien Zugang ins Unternehmensnetz. Und sollten (mobile) Geräte mit Tunnelzugang unplanmäßig, etwa durch Diebstahl, abhanden kommen, sind die VPN-Passwörter der Gegenstellen sofort auszutauschen. (un)