Quellcode | Bildquelle: picture alliance/dpa

IT-Sicherheit Daten von Zehntausenden Webseiten zugänglich

Stand: 01.07.2020 16:37 Uhr

Wegen falscher Einstellungen erlauben zahlreiche deutsche Webseiten den Zugriff auf Teile des Codes, die nicht für die Öffentlichkeit bestimmt sind. Das könnten Angreifer ausnutzen. Auch große Konzerne sind betroffen.

Jan Lukas Strozyk, NDR

Zehntausende Internetseiten in Deutschland sind unzureichend vor Angriffen geschützt. Das zeigen Recherchen des NDR zusammen mit dem Computermagazin "c't" und der Wochenzeitung "Die Zeit". Demnach sind bei den Seiten Teile des dahinter stehenden Programmcodes zugänglich, die nicht für die Öffentlichkeit bestimmt sind. So können Angreifer in einzelnen Fällen Zugriff auf Passwörter und sensible Daten erlangen. Betroffen sind Mittelständler ebenso wie Großkonzerne und privat betriebene Webseiten.

41.000 Webseiten sind angreifbar

Ursache ist eine fehlerhafte Einstellung bei den Webseiten. Dieses Problem ist eigentlich seit Jahren bekannt, wird aber offensichtlich immer noch von vielen missachtet. Das IT-Dienstleistungsunternehmen "Deutsche Gesellschaft für Cybersicherheit GmbH" (DGC) hatte Reporterinnen und Reportern von NDR, "c't" und "Zeit" darauf aufmerksam gemacht, dass die fehlerhafter Konfiguration massenhaft zu finden ist. Nach eigenen Angaben haben die IT-Sicherheitsspezialisten rund 41.000 Internet-Adressen mit einer "de"-Endung gefunden, die davon betroffen sind.

Eine entsprechende Liste liegt dem NDR vor. Grundsätzlich war das Sicherheitsproblem unter Experten bereits bekannt, über das Ausmaß ist bislang nicht berichtet worden. Die Analyse zeigt, dass unter anderem Webseiten von Dax-Konzernen, Banken, Politikern und aus dem Gesundheitsbereich betroffen sind.

Die Reporterinnen und Reporter haben die Ergebnisse der Sicherheitsfirma in Stichproben überprüft. In über 250 Fällen lässt die Adresse der Webseite den Schluss zu, dass es sich um Unternehmen aus dem medizinischen Bereich, beispielsweise Kliniken, handelt. Auch zahlreiche Banken und Finanzdienstleister betreiben derart falsch konfigurierte Webseiten. Ein Teil der Webseiten wirkt indes veraltet und wird offenbar nicht aktiv genutzt.

Daten von "geringem Wert für Dritte"?

Nach den  Recherchen von NDR, "c't" und "Zeit" wiesen unter anderem Webseiten des Versicherungskonzerns Allianz und des Luftfahrt-Zulieferers MTU Aero Engines die Sicherheitslücke auf. Auch der Lebensmittelhändler Edeka, die Hochschule für Angewandte Wissenschaften (HAW) in Hamburg und das Studentenwerk Göttingen waren beispielsweise betroffen. Auf Anfrage teilten sie allesamt mit, die Lücke mittlerweile geschlossen zu haben. Hinweise auf einen nicht autorisierten Zugriff fand nach eigenen Angaben keiner der Betroffenen.

Edeka teilte mit, die "zwischenzeitlich erreichbaren Daten" seien nur von "einem geringem Wert für Dritte". Es seien "keinerlei Kundendaten und auch keine Anmeldedaten gespeichert" gewesen. Auch die Allianz bestätigte das Problem und schrieb auf Anfrage: "Es war und ist jedoch nicht möglich, dadurch Zugriff auf persönliche Daten zu erlangen. Nach Ihrem Hinweis haben wir als Sofortmaßname die Webseite vorläufig vom Netz genommen." MTU Aero Engines erklärte, dass das betroffene System nicht zur Verarbeitung vertraulicher Daten genutzt worden sei. Daher habe sich aus der Lücke kein "unmittelbares Risiko" ergeben.

Das Studentenwerk Göttingen teilte mit, man gehe davon aus, "dass unsere Systeme, bzw. Daten von Studierenden, zu keinem Zeitpunkt für nicht autorisierte Personen zugänglich waren". Bei der HAW war unter anderem ein Bewerbungsportal von der fehlerhaften Konfiguration betroffen. Ein Sprecher erklärte, dass ein Zugriff auf die Daten aber nicht möglich gewesen sei. Die Lücke sei im Falle der HAW "insgesamt unschädlich" gewesen. Auch die Webseite einer AfD-Politikerin ist von der Fehlkonfiguration betroffen. Eine Anfrage dazu blieb ohne Antwort.

Passwörter für Angreifer zugänglich

Bei der Sicherheitslücke handelt es sich konkret um eine fehlerhafte Ordner-Freigabe. Sie ist in weit verbreiteten Programmen für Webserver standardmäßig aktiviert und erlaubt den Zugriff auf sogenannte Git-Repositories: ein Archiv mit allen Versionen des Quellcodes der Webseite. Mithilfe dieser Dateien können Entwickler Änderungen an der Software nachvollziehen und dokumentieren.

Diese Änderungen - und damit die zugrundeliegende Programmierung einer Webseite - sollte ein Nutzer in der Regel nicht einsehen können. Durch die fehlerhafte Freigabe lassen sich die Daten aber herunterladen. So kann jeder auf den Quellcode zugreifen sowie auf weitere Daten, zum Beispiel hinterlegte Passwörter.

Zugänglicher Quellcode erleichtert Phishing-Attacken

Inwiefern die Lücke tatsächlich sensible Daten preisgibt, ist von der Programmierung der jeweiligen Webseite abhängig. In Stichproben entdeckten die Reporterinnen und Reporter allerdings mehrmals Passwörter und Nutzernamen zur internen Verwendung. Auch sogenannte Phishing-Attacken, bei denen beispielsweise Unternehmens-Webseiten nachgeahmt werden, um Nutzer zu täuschen, werden einfacher, wenn ein Angreifer den Quellcode kennt.

Nach eigenen Angaben hat die DGC im Falle eines eigenen Kunden demonstrieren können, wie fatal die Lücke sein kann: Ein Unternehmen aus der Tourismus-Branche hatte einen Webserver, über den ein Buchungsportal angeboten wurde, entsprechend falsch konfiguriert. Aus dem Quellcode konnten die IT-Spezialisten ein Administrator-Passwort auslesen und so zunächst die Software des Buchungsportals kapern und von dort Zugriff auf das gesamte interne Netzwerk des Unternehmens erlangen - einen Weg, den auch ein Angreifer hätte gehen können. 

Darstellung: