Sicherheitslücke Parteien, Ministerien und Uno ließen Daten ungeschützt im Netz
News folgenPolitiker warnen vor Hackerangriffen, handeln selbst jedoch mitunter fahrlässig: Nach Spiegel-Informationen behoben Parteien kritische Sicherheitslücken auch nach behördlicher Aufforderung nicht. Besonders schlimm ist es bei der AfD.
Die Angst vor politisch motivierten Hackerangriffen greift um sich. Dennoch haben deutsche Parteien, Ministerien und internationale Organisationen Daten auf teils völlig veralteten Servern im Internet gespeichert – und ihre Dokumente damit sehr hohen Sicherheitsrisiken ausgesetzt.
Dutzende Institutionen wurden nach Spiegel-Informationen in den vergangenen Wochen auf teils eklatante Sicherheitslücken hingewiesen. Mehrere Parteien und Organisationen reagierten aber selbst auf diese Warnung nicht, etwa die AfD und die Grünen sowie das Büro der Vereinten Nationen in Genf.
AfD-Server auf dem Stand von 2013
Betroffen sind Cloud-Speicherdienste, ähnlich wie Dropbox. Konkret handelt sich um die Anbieter Nextcloud und ownCloud – deren Kunden ihre Daten auf einem eigenen Server speichern können, aber sich selbst um Updates kümmern müssen.
Besonders eklatant war die festgestellte Sicherheitslücke nach Spiegel-Informationen bei der AfD. Der dort betroffene Server läuft noch mit Software aus dem Jahr 2013, dem Jahr der Parteigründung. Angreifer können sich hier mit nur wenigen Tricks Zugang zu den Inhalten der Cloud und womöglich zu anderen Servern der Partei verschaffen.
Auf eine Warnung, die im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschickt wurde, reagierten die AfD-Verantwortlichen nicht. Eine Anfrage des Spiegel vom vergangenen Donnerstag blieb ebenfalls ohne Antwort.
Grüne hielten Reaktion nicht für notwendig
Auch die Grünen benutzten eine stark veraltete Softwareversion, die zahlreiche Angriffsflächen bietet, reagierten aber auf die BSI-Warnung nicht. Gegenüber dem Spiegel verwies die Partei nun darauf, man plane, die Installation bald abzuschalten; man habe dort "insbesondere" Wahlkampfmaterialien gelagert. Die Plattform werde "bei einem externen Dienstleister betrieben, der auch für die Sicherheit verantwortlich" sei. "Insofern war von unserer Seite keine Reaktion notwendig."
Die Vorfälle verdeutlichen die Sicherheitsrisiken, die aus sorglosem Umgang der Politik mit den eigenen Informationen erwachsen. Nach den Hackerangriffen in den USA auf die Demokratische Partei und das Umfeld der Präsidentschaftskandidatin Hillary Clinton und der politisch motivierten Veröffentlichung von dort gewonnenen Informationen hat sich zwar auch in der deutschen Politik das Problembewusstsein verschärft - Parteien haben etwa begonnen, ihre IT-Systeme besser auszustatten. Doch im Alltag hapert es allzu oft an grundlegenden Vorsichtsmaßnahmen.
Innenministerium und NRW aktualisieren ihre Server
Selbst bei großen Organisationen kann dies der Fall sein: So benutzte das Büro der Vereinten Nationen in Genf wie die Grünen eine anfällige Version und reagierte auf eine Warnung der Schweizer Sicherheitsbehörden nicht. Auf Anfrage des Spiegel teilte das Uno-Büro nun mit: "Wir haben das Risiko sofort erkannt." Man werde die fraglichen Server "in naher Zukunft" auf den neuesten Stand bringen.
Das Notfallteam Cert des BSI wurde von Nextcloud selbst auf die Sicherheitslücken aufmerksam gemacht und verschickte daraufhin seit Ende Januar Sicherheitswarnungen. Erst auf diesen Hinweis hin aktualisierten nach Spiegel-Informationen etwa das Bundesinnenministerium, die CDU-nahe Konrad-Adenauer-Stiftung und die Landesregierung Nordrhein-Westfalen ihre Server. Auch bei ihnen war zuvor veraltete Software zum Einsatz gekommen.
Das BSI spricht nun auf Anfrage von "teils kritischen Schwachstellen". Es bestehe nicht nur die Gefahr, dass Angreifer Informationen ausspähen und "für kriminelle Zwecke wie Erpressungen" nutzen. "Andere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann gegebenenfalls zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen", so ein BSI-Sprecher. Heißt: Selbst, wenn die fraglichen Server keine sensiblen Daten (mehr) lagern, können über die Server andere Server gekapert werden.
Etwa jeder dritte Kunde ignoriert laut BSI Sicherheitshinweise, die sein Provider ihm im Auftrag der Behörde schickt. Dass auch Parteien das tun, mag statistisch gesehen normal erscheinen. In der Behörde ärgert man sich allerdings zunehmend über die Sorglosigkeit der Politik. Zuletzt warnte BSI-Chef Arne Schönbohm immer wieder die Parteien vor den Gefahren politisch motivierter Hackerangriffe.
"Hier steckt Sprengstoff drin"
Die betroffenen Cloud-Serverprogramme ownCloud und Nextcloud sind Open-Source-Alternativen zu Cloud-Diensten großer Anbieter wie Amazon oder Dropbox. Sie wenden sich gerade an jene, die ihre IT-Sicherheit lieber in die eigenen Hände nehmen wollen. Nur müssen sie das dann auch tun.
Den ursprünglichen Alarm schlug Nextcloud-Gründer Frank Karlitschek, der zuvor auch ownCloud gegründet hatte. Er hatte im vergangenen Jahr mit vielen Mitarbeiten ownCloud verlassen, um ein Produkt zu etablieren, das sicherer sein sollte (hier können Kunden die Sicherheit ihrer Versionen überprüfen lassen).
Bei einer Untersuchung zu verwendeten Produktversionen hätten seine Mitarbeiter bemerkt, dass viele Kunden erschreckend alte Software benutzten, um die eigenen Dateien im Netz zu lagern. Karlitschek informierte das Notfallteam Cert des BSI. Nach den politisch motivierten Hackerangriffen in den USA sei ihm klar gewesen, sagt Karlitschek, "dass hier Sprengstoff drinsteckt". Deshalb habe er sich an die Behörden gewandt.
Zusammengefasst: AfD, Grüne und die Uno nutzen völlig veraltete Cloud-Server zum Speichern bestimmter Daten. Warnungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sie bislang ignoriert und die Sicherheitslücken immer noch nicht geschlossen.
