Konfigurationsfehler Zehntausende Server deutscher Firmen von Sicherheitsproblem betroffen

Offenbar haben viele Betreiber von Webseiten eine seit Jahren bekannte Sicherheitslücke ignoriert, die auch sensible Kundendaten leicht zugänglich macht. Sogar Dax-Konzerne machten den Fehler.
Server in einem Rechenzentrum

Server in einem Rechenzentrum

Foto: Michael Bocchieri/ AFP

Tausende Internetserver in Deutschland sind so fehlerhaft eingerichtet, dass Angreifer auf sensible Daten zugreifen können, die darauf gespeichert sind. Das berichten die Wochenzeitung "Die Zeit"  sowie das Computermagazin "c't" in ihren aktuellen Ausgaben. "Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen", schreibt die "c't".

Der Flensburger IT-Sicherheitsunternehmer Matthias Nehls hatte rund 41.000 Systeme ermittelt, die fehlerhaft konfiguriert sind. Die Fehler hätten zur Folge, dass man ohne großen Aufwand Codearchive von Programmen auslesen könnte, in denen zum Beispiel Zugangsdaten zu Datenbanken mit Kundendaten gespeichert sein können. Konkret sind von der Sicherheitslücke sogenannte Repositories des Versionskontrollsystems Git betroffen. In solchen Repositories werden unterschiedliche Versionen von Programmen abgelegt, die für unterschiedliche Betriebssystemvarianten optimiert sind.

Auch Dax-Konzerne betroffen

Wie Recherchen der "Zeit", der "c't" und des NDR zeigen, waren von der Schwachstelle auch Server von Dax-Konzernen und Hochschulen betroffen. Unter anderem werden der Versicherungskonzern Allianz, der Triebwerkshersteller MTU und der Hosting-Anbieter Host Europe genannt. Zudem fanden sich unter den betroffenen Systemen auch Server von Mittelständlern, Arztpraxen, Onlineshops und Stadtwerken - obwohl die Problematik seit Jahren bekannt ist.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich davon nicht überrascht. "Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es erst mal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten", teilte Deutschlands Cybersicherheitsbehörde der "Zeit" mit.

Die "c't" empfiehlt betroffenen Anwendern von Git, den Mangel in jedem Fall schleunigst zu beheben. "Wer sich nicht sicher ist, kann einfach http://meinedomain.de/.git/config im Browser aufrufen." Zeige der Browser eine Konfigurationsdatei an, sei der Server von dem Problem betroffen.

mak/dpa
Die Wiedergabe wurde unterbrochen.