Peinliche Sicherheitslücke bei der Bundesfinanzagentur

[Joyrider]

Schon sehr heftig sowas:
http://ccc.de/de/updates/2011/bundesfinanzagentur

Man beachte die Kommentare:
Zitat vom CCC: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.


Auch sehr typisch (wir können doch gar nix dafür):
Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.




Diejenigen welche die Server bereitgestellt und eingerichtet haben gehören verklagt und gefeuert. Und diejenigen die das alles geprüft haben ebenfalls.

Seit 2009 konnte man scheinbar beliebig die Daten ändern und ergänzen.

Nur schade das weder die Verantwortlichen zur Rechenschaft gezogen werden und das auch niemand "da oben" was draus lernt.

Wie sicher der E-Perso und andere Sachen vom Bund sind kann man sich dann ja denken, bzw... wir wissen es ja eh schon. ;(




Edit/Nachtrag:
Was wäre wohl wenn wir so arbeiten würden und solche "Dinge" abliefern? Normale Angestellte wären doch schon längst für weit weniger gefeuert worden. In einem Fall doch sogar wegen einer Frikadelle die in den Müll sollte.

[schmidtsmikey]

Jo, das ist nun mal das Problem der weltweiten Vernetzung und der öffentlichen Server. Das ist gar nicht so einfach. Möchte gar nicht wissen, welche Sicherheitslücken der Server von PCE hat. Ich halte den Server zwar immer auf den aktuellsten Stand, prüfe die Logs und iptables als Firewall kontrolliert den Traffic, ob ich aber keine Sicherheitslöcher habe, kann ich nicht 100% sagen.

[Joyrider]

Das ist wohl wahr, aber bei der Bundesfinanzagentur sollten doch ganz andere Standards gelten und regelmäßig (damit meine ich z.B. 1x pro Monat) die Sicherheit getestet werden. Oder wäre das ein Verstoß gegen den Hacker-Paragraphen?

Ich finde es nur erschreckend wie bei solchen staatlichen Einrichtungen *verzeiht mir den Ausdruck* so auf die Sicherheit gesch*ssen wird. Da geht es um viel viel Geld. Um Geld der Bürger. Die Bürger(daten) sollten eigentlich den höchsten Schutz genießen, aber bei der CDU/FDP wundert es mich nicht das die das anders priorisieren.

Ist mir unverständlich wieso ein einzelner Admin (nennen wir ihn schmidtsmikey) ein Forum (nennen wir es PCE) besser absichert und öfter prüft als es die Bundesfinanzagentur macht, bzw. machen lässt.