Angriff auf Hildmann-Website Anonymous-Aktivisten decken schwere Mängel bei Webhoster auf
Anonymous-Aktivisten bei einer Demonstration (Archivbild)
Foto: Glenn Hunt/ Getty ImagesDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Erst vor einigen Tagen hat Attila Hildmann seine neue Website online geschaltet, nachdem Anonymous-Aktivisten die alte Seite Mitte September gehackt und vom Netz genommen hatten. Nun gab es am späten Montagnachmittag erneut Probleme für den ehemaligen Vegankoch: »Oops we did it again« (»Wir haben es wieder getan«), schrieben Anonymous-Aktivisten auf dem Messengerdienst Telegram und verwiesen auf Hildmanns Website. Dort waren eine Coverversion des gleichnamigen Lieds von Britney Spears und die bekannte Anonymous-Maske zu sehen, statt der Werbung für Hildmanns Onlineshop und seinen Telegram-Kanal, auf dem er rechtsextreme Hetze verbreitet. Seit Dienstagmorgen und auch noch am Freitagvormittag erscheint auf Hildmanns Website eine Fehlermeldung.
Um die Seite lahmzulegen, griffen die Anonymous-Akivisten das Berliner Webhosting-Unternehmen ProSite an. Auf deren Systemen liegen neben Hildmanns Seite auch die Seiten und Daten vieler anderer unbeteiligter Kunden. Einen Fuß in die Tür der Systeme von ProSite bekamen die Aktivisten offenbar, in dem sie eine Schwachstelle auf dem Webspace eines einzelnen anderen Kunden ausnutzten.
Von dort aus konnten sie tief in die internen Systeme vordringen, die offenbar nicht gegen eine solche Attacke gerüstet waren. So konnten die Angreifer auch persönliche Daten wie Anschriften und Kreditkartendaten der Kunden im Klartext abrufen – inklusive der CVC-Codes, mit denen Onlinezahlungen mit Kreditkarten autorisiert werden.
»Das ist ein Nudelsieb, aber kein Hoster«, schrieben die Angreifer am Montagabend in einem Blogbeitrag, in dem sie sich zu der Aktion bekannten. Auch die Homepage von ProSite selbst war am Montagabend zeitweise nicht erreichbar, die Hotline des Unternehmens ist seit dem Vorfall offenbar überlastet. ProSite hat die Schwachstelle inzwischen bestätigt.
Anonymous-Hacker können E-Mails mitlesen
Die von Anonymous gefundenen Kreditkartendatenbank sei nicht gemäß der Datenschutzgrundverordnung gespeichert gewesen und inzwischen gelöscht, schrieb das Unternehmen Tage später in einem Statement. Man habe Gegenmaßnahmen eingeleitet und »die betroffenen Systeme umgehend vom Netz getrennt und abgekapselt«.
Noch bis Mittwochvormittag allerdings konnten Anonymous-Aktivisten E-Mails mitlesen, die an eine Info-Mail-Adresse von ProSite geschickt wurden, wie der SPIEGEL verifizieren konnte. Die Anonymous-Aktivisten selbst sprachen von einem »Vollzugriff auf ProSite«. Man habe auch Aufnahmen von Sicherheitskameras einsehen und auf die Einstellungen der Klimatisierung des Rechenzentrums sowie andere interne Systeme zugreifen können.
Dem SPIEGEL sagten die Anonymous-Aktivisten, ihr Ziel sei nur Hildmann gewesen, nicht die Kunden von ProSite. »Die entdeckten Sicherheitslücken und Zustände bei ProSite waren für uns ›Beifang‹«. Die Probleme seien jedoch so gravierend und akut, dass man sie auf »›Anonymous-Art‹ öffentlich gemacht« habe. Anders als in IT-Sicherheitskreisen üblich, wurde die Schwachstelle aber vor der Veröffentlichung des Anonymous-Blogbeitrags weder an das Unternehmen noch an Behörden gemeldet.
In Anspielung auf Sicherheitsforscher, die neu entdeckte Sicherheitslücken den betroffenen Unternehmen melden und deshalb als »White-Hat-Hacker« bezeichnet werden, schrieb ein Mitglied von Anonymous Germany dem SPIEGEL per E-Mail: »Anons sind keine White Hats«. Man fühle sich nicht verpflichtet, Meldungen dieser Art zu tätigen, schließe es aber auch nicht kategorisch aus.
Auch große Unternehmen arbeiten mit Speedbone
Hinter ProSite steht das Berliner Unternehmen Speedbone. Dieses listete bis zu dem Vorfall auf der eigenen Website auch große Unternehmen wie Vodafone, Telefónica oder Strato als Partner.
Als Rechenzentrumsbetreiber hostet Speedbone über ProSite nicht nur Websites, sondern bietet größeren Unternehmen auch sogenannte Carrier- und Colocation-Dienste an, mit denen diese sich wiederum um den Netzbetrieb oder eigene Internetangebote kümmern. Die Dienste für sogenannte Colocationkunden seien jedoch von dem »Vorfall unberührt geblieben«, erklärte ProSite.
Kritik an Reaktion von ProSite
Die Anonymous-Aktivisten der Gruppe Anonymous Germany, die in der Vergangenheit mehrfach Verschwörungsgläubige und Rechtsextreme angegriffen haben, kritisierten die Reaktion von ProSite auf den Hack. Es fehle ein »gravierender Teil in der Stellungnahme«: ProSite und Speedbone sollten ihre Kunden darüber informieren, was deren Firmenkunden, die ebenfalls indirekt betroffen sein könnten, nun an konkreten Schutzmaßnahmen unternehmen sollten. Dies umfasse unter anderem das Ändern von Passwörtern und sogenannten API-Keys, also Zugriffsschlüsseln für spezielle Schnittstellen.
Unklar bleibt bisher, ob Speedbone oder ProSite ihre Kunden auch direkt per Mail informiert haben oder lediglich eine Stellungnahme auf ihrer Website veröffentlicht haben. Das Unternehmen ließ Nachfragen des SPIEGEL bisher unbeantwortet.
Geschäftsführer postete rechte Inhalte auf Facebook
Aktivisten hatten nach dem Vorfall darauf aufmerksam gemacht, dass Ulrich Eckhardt, Geschäftsführer von Speedbone, auf seiner Facebook-Seite rechtsextreme und impfkritische Inhalte verbreitet haben soll. Demnach teilte er Inhalte des Magazins Compact, bezeichnete die Pandemie als Teil eines Notfallplans und verbreitete Verschwörungsmythen. So ist es zumindest auf Screenshots zu sehen, die Aktivisten auf Twitter gepostet haben .
Am Ende der Stellungnahme auf der ProSite-Seite entschuldigte sich der Geschäftsführer »für unangebrachte oder missverständliche Postings« auf seiner privaten Facebook-Seite. Die Postings und sein persönliches Facebook-Konto habe er inzwischen gelöscht. Man wolle sich als Unternehmen von Rassismus oder Antisemitismus distanzieren und stehe »für Vielfalt, Meinungsfreiheit und Förderung von Minderheiten« ein. Erst kürzlich habe ein ehemaliger Geflüchteter seine Ausbildung bei dem Unternehmen erfolgreich absolviert und sei anschließend unbefristet übernommen worden, führte ProSite in der Stellungnahme aus.
Ein Sprecher des Berliner Datenschutzbeauftragten bestätigte dem SPIEGEL, eine Meldung über die Datenpanne von ProSite momentan zu prüfen.
