Schwere Sicherheitslücke Deutsche Finanzagentur muss Online-Banking aussetzen

Der Chaos Computer Club hat die Finanzagentur der Bundesrepublik Deutschland auf eine schwere Sicherheitslücke hingewiesen. Der Finanzdienstleister, der die Schulden der Republik verwaltet, schaltete daraufhin sein Online-Banking ab - und die Staatsanwaltschaft ein.
Deutsche Finanzagentur: Jahrelang eine Sicherheitslücke in der Web-Seite

Deutsche Finanzagentur: Jahrelang eine Sicherheitslücke in der Web-Seite

Frankfurt/Main - Die Finanzagentur des Bundes hat nach einem Angriff auf ihr Internet-Angebot die Staatsanwaltschaft eingeschaltet. Seit Donnerstagmittag ist das Online-Angebot der Behörde, die zum Beispiel Bundesschatzbriefe verkauft und die Schulden des Bundes verwaltet, nicht mehr erreichbar. Der Chaos Computer Club (CCC) hatte eine Sicherheitslücke gemeldet, die auch das Online-Banking betroffen haben soll.

Die Website bundeswertpapiere.de  sei am Donnerstag "offenbar Ziel einer Webattacke geworden", erklärte ein Sprecher der Bundesrepublik Deutschland - Finanzagentur GmbH am Freitag in Frankfurt. Bei der Frankfurter Staatsanwaltschaft sei Strafanzeige gegen Unbekannt erstattet worden.

"Wir versuchen zu klären, ob und inwiefern Kundendaten auslesbar waren", sagte der Sprecher. Nach seinen Angaben nutzen derzeit etwa 70.000 der knapp 400.000 Privatkunden ein Online-Depot. Kunden könnten Wertpapieraufträge jederzeit über das Kundenservicezentrum der Finanzagentur erteilen.

Am Donnerstagabend hatte der CCC erklärt , jeder Internet-Nutzer habe auf der Seite der Agentur jahrelang über seinen Browser eigene Angebote für Geldgeschäfte einstellen und Angebote der Finanzagentur verändern können. Der Club habe die Webserver der Bundesfinanzagentur nach einem anonymen Hinweis überprüft. Dabei seien "gravierende Sicherheitslücken" entdeckt worden, auch im Angebot für das Online-Banking.

Hilfreich für einen potentiellen Angreifer sein ein grafischer Datei-Browser gewesen, mit dem die Datei- und Ordnerstruktur des Servers offen einsehbar gewesen sei. Dadurch hätten Benutzerdaten, Passwörter und PIN-Nummern ohne großen Aufwand abgefangen werden können. CCC-Sprecher Dirk Engling bezeichnete das als "schwerwiegende Sicherheitslücke".

Auf Anfrage des CCC erklärte der Sicherheitsbeauftragte der Finanzagentur, das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe beratend zur Seite gestanden. Man habe aber keine Probleme identifizieren können - demnach blieb die Sicherheitslücke den Betreibern womöglich über Jahre unbekannt. "Das ist grobe Fahrlässigkeit", so der CCC-Sprecher.

ore/dpa
Die Wiedergabe wurde unterbrochen.