Peinliche Sicherheitslücke bei der Bundesfinanzagentur
Verfasst: 11.03.2011, 15:42
Schon sehr heftig sowas:
http://ccc.de/de/updates/2011/bundesfinanzagentur
Man beachte die Kommentare:
Zitat vom CCC: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.
Auch sehr typisch (wir können doch gar nix dafür):
Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.
Diejenigen welche die Server bereitgestellt und eingerichtet haben gehören verklagt und gefeuert. Und diejenigen die das alles geprüft haben ebenfalls.
Seit 2009 konnte man scheinbar beliebig die Daten ändern und ergänzen.
Nur schade das weder die Verantwortlichen zur Rechenschaft gezogen werden und das auch niemand "da oben" was draus lernt.
Wie sicher der E-Perso und andere Sachen vom Bund sind kann man sich dann ja denken, bzw... wir wissen es ja eh schon. ;(
Edit/Nachtrag:
Was wäre wohl wenn wir so arbeiten würden und solche "Dinge" abliefern? Normale Angestellte wären doch schon längst für weit weniger gefeuert worden. In einem Fall doch sogar wegen einer Frikadelle die in den Müll sollte.
http://ccc.de/de/updates/2011/bundesfinanzagentur
Man beachte die Kommentare:
Zitat vom CCC: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.
Auch sehr typisch (wir können doch gar nix dafür):
Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.
Diejenigen welche die Server bereitgestellt und eingerichtet haben gehören verklagt und gefeuert. Und diejenigen die das alles geprüft haben ebenfalls.
Seit 2009 konnte man scheinbar beliebig die Daten ändern und ergänzen.
Nur schade das weder die Verantwortlichen zur Rechenschaft gezogen werden und das auch niemand "da oben" was draus lernt.
Wie sicher der E-Perso und andere Sachen vom Bund sind kann man sich dann ja denken, bzw... wir wissen es ja eh schon. ;(
Edit/Nachtrag:
Was wäre wohl wenn wir so arbeiten würden und solche "Dinge" abliefern? Normale Angestellte wären doch schon längst für weit weniger gefeuert worden. In einem Fall doch sogar wegen einer Frikadelle die in den Müll sollte.