Sicherheitslücke Parteien, Ministerien und Uno ließen Daten ungeschützt im Netz

Politiker warnen vor Hackerangriffen, handeln selbst jedoch mitunter fahrlässig: Nach SPIEGEL-Informationen behoben Parteien kritische Sicherheitslücken auch nach behördlicher Aufforderung nicht. Besonders schlimm ist es bei der AfD.

imago

Von


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Die Angst vor politisch motivierten Hackerangriffen greift um sich. Dennoch haben deutsche Parteien, Ministerien und internationale Organisationen Daten auf teils völlig veralteten Servern im Internet gespeichert - und ihre Dokumente damit sehr hohen Sicherheitsrisiken ausgesetzt.

Dutzende Institutionen wurden nach SPIEGEL-Informationen in den vergangenen Wochen auf teils eklatante Sicherheitslücken hingewiesen. Mehrere Parteien und Organisationen reagierten aber selbst auf diese Warnung nicht, etwa die AfD und die Grünen sowie das Büro der Vereinten Nationen in Genf.

Betroffen sind Cloud-Speicherdienste, ähnlich wie Dropbox. Konkret handelt sich um die Anbieter Nextcloud und ownCloud - deren Kunden ihre Daten auf einem eigenen Server speichern können, aber sich selbst um Updates kümmern müssen.

Besonders eklatant war die festgestellte Sicherheitslücke nach SPIEGEL-Informationen bei der AfD. Der dort betroffene Server läuft noch mit Software aus dem Jahr 2013, dem Jahr der Parteigründung. Angreifer können sich hier mit nur wenigen Tricks Zugang zu den Inhalten der Cloud und womöglich zu anderen Servern der Partei verschaffen.

AfD und Grüne ignorieren Warnungen

Auf eine Warnung, die im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschickt wurde, reagierten die AfD-Verantwortlichen nicht. Eine Anfrage des SPIEGEL vom vergangenen Donnerstag blieb ebenfalls ohne Antwort.

Auch die Grünen benutzten eine stark veraltete Softwareversion, die zahlreiche Angriffsflächen bietet. Gegenüber dem SPIEGEL verwies die Partei nun darauf, man plane, die Installation bald abzuschalten; man habe dort lediglich Wahlkampfmaterialien gelagert. Die Plattform werde "bei einem externen Dienstleister betrieben, der auch für die Sicherheit verantwortlich" sei. "Insofern war von unserer Seite keine Reaktion notwendig."

Die Vorfälle verdeutlichen die Sicherheitsrisiken, die aus sorglosem Umgang der Politik mit den eigenen Informationen erwachsen. Nach den Hackerangriffen in den USA auf die Demokratische Partei und das Umfeld der Präsidentschaftskandidatin Hillary Clinton und der politisch motivierten Veröffentlichung von dort gewonnenen Informationen hat sich zwar auch in der deutschen Politik das Problembewusstsein verschärft - Parteien haben etwa begonnen, ihre IT-Systeme besser auszustatten. Doch im Alltag hapert es allzu oft an grundlegenden Vorsichtsmaßnahmen.

Innenministerium und NRW aktualisieren ihre Server

Selbst bei großen Organisationen kann dies der Fall sein: So benutzte das Büro der Vereinten Nationen in Genf wie die Grünen eine anfällige Version und reagierte auf eine Warnung der Schweizer Sicherheitsbehörden nicht. Auf Anfrage des SPIEGEL teilte das Uno-Büro nun mit: "Wir haben das Risiko sofort erkannt." Man werde die fraglichen Server "in naher Zukunft" auf den neuesten Stand bringen.

Das Notfallteam Cert des BSI wurde von Nextcloud selbst auf die Sicherheitslücken aufmerksam gemacht und verschickte daraufhin seit Ende Januar Sicherheitswarnungen. Erst im Januar aktualisierten etwa das Bundesinnenministerium, die CDU-nahe Konrad-Adenauer-Stiftung und die Landesregierung Nordrhein-Westfalen ihre Server.

Das BSI spricht nun auf Anfrage von "teils kritischen Schwachstellen". Es bestehe nicht nur die Gefahr, dass Angreifer Informationen ausspähen und "für kriminelle Zwecke wie Erpressungen" nutzen. "Andere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann gegebenenfalls zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen", so ein BSI-Sprecher. Heißt: Selbst, wenn die fraglichen Server keine sensiblen Daten (mehr) lagern, können über die Server andere Server gekapert werden.

Etwa jeder dritte Kunde ignoriert laut BSI Sicherheitshinweise, die sein Provider ihm im Auftrag der Behörde schickt. Dass auch Parteien das tun, mag statistisch gesehen normal erscheinen. In der Behörde ärgert man sich allerdings zunehmend über die Sorglosigkeit der Politik. Zuletzt warnte BSI-Chef Arne Schönbohm immer wieder die Parteien vor den Gefahren politisch motivierter Hackerangriffe.

"Hier steckt Sprengstoff drin"

Die betroffenen Cloud-Serverprogramme ownCloud und Nextcloud sind Open-Source-Alternativen zu Cloud-Diensten großer Anbieter wie Amazon oder Dropbox. Sie wenden sich gerade an jene, die ihre IT-Sicherheit lieber in die eigenen Hände nehmen wollen. Nur müssen sie das dann auch tun.

Den ursprünglichen Alarm schlug Nextcloud-Gründer Frank Karlitschek, der zuvor auch ownCloud gegründet hatte. Er hatte im vergangenen Jahr mit vielen Mitarbeiten ownCloud verlassen, um ein Produkt zu etablieren, das sicherer sein sollte (hier können Kunden die Sicherheit ihrer Versionen überprüfen lassen).

Bei einer Untersuchung zu verwendeten Produktversionen hätten seine Mitarbeiter bemerkt, dass viele Kunden erschreckend alte Software benutzten, um die eigenen Dateien im Netz zu lagern. Karlitschek informierte das Notfallteam Cert des BSI. Nach den politisch motivierten Hackerangriffen in den USA sei ihm klar gewesen, sagt Karlitschek, "dass hier Sprengstoff drinsteckt". Deshalb habe er sich an die Behörden gewandt.

Zusammengefasst: AfD, Grüne und die Uno nutzen völlig veraltete Cloud-Server zum Speichern bestimmter Daten. Warnungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sie bislang ignoriert und die Sicherheitslücken immer noch nicht geschlossen.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 57 Beiträge
Alle Kommentare öffnen
Seite 1
m_s@me.com 06.03.2017
1. Der deutsche Widerspruch
Deutschland zerreißt sich täglich das Maul zum Thema " ... aber der Datenschutz!", und zwar so viel und emotional wie sonst nirgendwo. Aber wenn es darum geht, diesen Datenschutz auch zu implementieren, wird vielerorten genau gar nichts gemacht. Ich kenne die IT vieler Behörden und mich wundert es, warum nicht schon sehr viel mehr passiert ist. Und da wird auch noch viel mehr passieren.
zeisig 06.03.2017
2. Wessen Angelegenheit ist das?
Es ist ja schön, daß sich der Autor dieses Artikels Sorgen um die Grünen oder die AfD oder sonst wen macht. Aber bitteschön, es ist jeder Person oder Partei selbst überlassen, wie hoch sie irgendein Risiko einschätzt und wie gründlich sie sich um Datensicherheit bemüht. Das Risiko in der Politik wird meiner Meineung nach vollkommen überschätzt. Hat Merkel eigentlich Probleme gehabt mit dem "Ausspähen unter Freunden?" Indsustriespionage, da wird's interessant. Aber Politik ?
echoanswer 06.03.2017
3. Das BSI ...
scheint wirklich eine taube Truppe zu sein, wenn sie von außen auf Sicherheitslücken hingewiesen werden muss. Hacker haben die lange gefunden. Trotzdem sitzt das größte Problem vor dem PC. Schickt einem Bundestagsabgeordneten ein Angebot für ein Aktienpaket mit toller Redite ... schwups ist der Trojaner versenkt. Bei Politikern herrscht die Meinung vor, das muss ich nicht wissen, das ist unter meiner Würde.
mullex 06.03.2017
4. CIA, NSA und BND lesen
ohnehin mit. Diese Geheimdienste stellen die Sicherheit für uns sogar kostenlos bereit. Alle anderen interessieren mich nicht.
torpedofrog 06.03.2017
5. Interessant zu wissen:
Offenbar wird in Sachen Netz und IT-Sicherheit von den Bürgern erweartet, daß sie sich komplett und fachgerecht selbst zu schützen haben. Damit verlagert der Staat ( und dahin gehend ist auch die öffentliche Wahrnehmung) seine ordnungspolitische Verpflichtung sang-und klanglos in den Verantwortungsbereich der Bürger. Vielleicht sollte unsere Regierung sich nicht vornehmlich um teure Transportflugzeuge u.Ä. bemühen, damit Deutschland auch " am Hindukusch verteidigt" werden kann, sondern sich für die Sicherung der eigenen Bürger und ihrer Daten engagieren. Ich bezahle diese Leute mit meinen Steuern, daß sie mich vor Kriminalität schützen. Und zwar da, wo sich mein Leben abspielt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.