Webserver der Bundesfinanzagentur offen wie ein Scheunentor

Aufgrund gravierender Sicherheitsprobleme hat die Bundesfinanzagentur ihren Online-Service nach Hinweisen des Chaos Computer Clubs vom Netz genommen. Nach Angaben des CCC war es jahrelang jedem Internetnutzer möglich, mit seinem Webbrowser eigene Angebote für Geldgeschäfte einzustellen sowie die Angebote der Finanzagentur zu manipulieren, zu verändern und zu ergänzen. Unklar ist, ob es tätsächlich zu Manipulationen in den vergangenen Jahren kam.

Die Bundesrepublik Deutschland – Finanzagentur GmbH ist ein Finanzdienstleistungsunternehmen, das das Großkundengeschäft bei der Kreditaufnahme des Bundes und dessen Schuldenmanagement durchführt. Zudem bietet die Agentur die kostenlose Depotverwaltung für Bundeswertpapiere an, die auch Privatanleger kostenlos nutzen können.

Ursache des Problems ist offenbar ein für jedermann zugänglicher, browserbasierter Dateimanager, mit dem der unkontrollierte Zugriff auf Dateien des Servers möglich war. Damit ließen sich sowohl Konfigurationen als auch Inhalte ändern. Da die Seiten der Bundesfinanzagentur zudem eine Einstiegseite zum Internet-Banking bieten, hätten Angreifer auch von Kunden eingegebene Zugangsdaten abfangen können. Das hätte etwa ein PHP-Skript oder eine alternative Konfiguration des betroffenen Apache-Servers erledigen können.

Auf das Problem war der CCC nach eigenen Angaben beim Auslesen der robots.txt gestoßen. Dort war der Pfad (http://www.bundeswertpapiere.de/fileadmin/filedfa.php) zu dem Dateimanager eingetragen, damit Google ihn nicht in seine Suchergebnisse aufnimmt. Der Webauftritt soll von einer externen Agentur stammen. Gegenüber dem CCC gab der Sicherheitsbeauftragte an, dass der Server bei einem Penetrationstest von außen untersucht wurde, es seien aber keine Mängel festgestellt worden. (dab)