Nachdem der österreichische Arm der Hackergruppe AnonAustria (ich persönlich bin überzeugt, dass es sich dabei um einen ziemlich jungen Einzeltäter handelt) die Webseiten der SPÖ und der FPÖ erfolgreich angriff und die Zugangsdaten veröffentlichte (sie sind übrigens immer noch auf PasteHTML.com zugänglich), nahm sich AnonAustria vor ein Paar Tagen die Webseite des GIS (das österreichische Pendant zum deutschen GEZ) vor. Laut eigenen Angaben wurden dabei 211,695 Datensätze (davon 95,954 mit Kontodaten) von ORF-Hörern und -Sehern entwendet.
Nun droht die Hackergruppe in einem Ultimatum damit, Kontaktdaten aller ermittelten Gebührenzahler zu veröffentlichen, sollte das GIS bis heue (25.07.2011), 18 Uhr nicht das wahre Ausmaß des Datendiebstahls öffentlich eingestehen [Das GIS hat sich inzwischen dem Ultimatum gebeugt, siehe Ende des Artikels].
Die/der Hacker kamen/kam übrigens über eine leicht zu findende und auszunützende SQL-Injection-Schwachstelle an die Daten. Durch hinzufügen von…
' or 1=1'
an eine Abfrage ermöglichte die Webseite der GIS den/dem Angreifern/Angreifer offenbar vollen Zugang zu den Kontaktdaten aller ORF-Gebührenzahler. Laut eigenen Angaben meldete AonAustria diese Schwachstelle schon vor Monaten dem GIS und als letztere nicht auf die Warnung reagierte und das Problem auch nicht behob, sah sich AonAustria laut eigenen Angaben gezwungen, einzuschreiten und einige der erbeuteten Daten zu veröffentlichen.
Dieser Vorfall zeigt wieder einmal, wie wenig Verständnis dem Thema IT-Sicherheit entgegengebracht wird. Die Annahme des Presse-Redakteurs, dass das Verschlüsseln der Kundendaten dieselben geschützt hätte, ist falsch, da die Webanwendung selbst fehlerhaft programmiert war, wodurch sich die Verschlüsselung leicht umgehen ließe (siehe Kapitel 6 meines Buches). Die übliche Reaktion, nämlich nach den Behörden zu rufen und für mehr „Schutz“ zu sorgen, hilf noch weniger. Die einzige Möglichkeit, solche Einbrüche zu verhindern, ist die Webanwendung abzusichern! Jede andere Maßnahme ist schlicht zwecklos, den die Schwachstelle ist so leicht auszunutzen, dass sie der nächste selbsternannte „Datenschützer“ ausnutzen würde, zögen die Behörden AnonAustria für immer aus dem Verkehr.
Die Meinung einiger Sicherheitsexperten, dass Hackergruppen wie LulzSec oder Anonymous das Internet langfristig sicherer machten, teile ich übrigens nicht. Es hängt nämlich davon ab, wie die betroffenen Webseitenbetreiber damit umgehen und viele haben den Ernst der Lage auch nach einem Angriff nicht erkannt. Nur so lässt sich erklären, dass die entwendeten Daten immer noch im Internet zugänglich sind (siehe oben). Viele Webseitenbetreiber werden sich also einfach damit begnügen, nach der Polizei zu rufen und weiter nichts zu unternehmen, während für Leute, deren persönliche Daten veröffentlicht werden, tatsächlich ein beträchtlicher Schaden entstehen kann. Die Behörden ihrerseits kennen nur eine Patendlösung (siehe Paul Watzlawicks Vom Schlechten des Guten: oder Hekates Lösungen), von der sie sich die Lösung für jedes denkbare Sicherheitsproblem erhoffen, nämlich mehr Überwachungsbefugnisse, und dass, obwohl sie die sensiblen Daten, die sie bisher schon sammeln, nicht wirksam schützen können (siehe der Vorfall beim deutsche Zoll).
Letztlich darf aber nicht vergessen werden, dass ein Angriff auf eine Webseite immer eine kriminelle Handlung darstellt (sofern der Betreiber einen Angriff nicht selbst bei einem Sicherheitsdienstleister in Auftrag gibt) – egal wie einfach der Angriff auch durchzuführen ist. Letztlich kann nur der Gesetzgeber durch Einfordern von verbindlichen Regeln dafür sorgen, dass Seitenbetreiber sensible Daten ausreichend schützen.
Bei diesem Zeitungsständer wird niemand daran gehindert, eine oder alle Zeitungen ohne zu Zahlen zu entnehmen. Rein rechtlich gesehen ist letzteres allerdings verboten. Man muss also zahlen, auch wenn der Ständer niemanden davon abhält, nicht zu zahlen. Die Zeitungsherausgeber haben sich natürlich längst damit abgefunden, dass nur ein Bruchteil derer, die eine Zeitung entnehmen, auch tatsächlich zahlt.
Viele Webseitenbetreiber verhalten sich meist ohne es zu wissen genauso. Durch verwundbare Webanwendungen stehen alle gespeicherten Informationen de facto für jedermann frei zur Verfügung. Zu hoffen, dass sich jeder an die Spielregeln hält, ist illusorisch – das gilt für die physische Welt genauso wie für die virtuelle.
Update: GIS beugt sich dem Ultimatum
…und räumt ein, dass tatsächlich 214.000 Datensätze geklaut wurden, davon 96.000 mit Bankdaten. Es sind also nicht alle 3.5 Millionen Gebührenzahler betroffen sondern nur jene, die sich in der Vergangenheit auf der Webseite An- oder Umgemeledet haben.
Kurz bevor das Ultimatum an die GIS gestellt wurde, veröffentlichte AnonAustria übrigens noch den Datensatz von ORF-Generaldirektor Alexander Wrabetz, der offensichtlich eine Ummeldung über die Webseite der GIS vorgenommen hatte. Die betroffene Webseite ist derzeit offline. GIS-Sprecher Denk bestätigt, dass die Seite in nächster Zeit wieder online gestellt werde, allerdings ohne der Funktion für GIS-Kunden, sich online an- oder umzumelden. Zur Zeit werde mit einer neu gegründeten Task Force an der Verbesserung der derzeitigen Sicherheitsmaßnahmen gearbeitet, sodass ein derartiger Vorfall nicht mehr passieren könnte.
Update 27.07.2011: GIS entschuldigt sich bei Betroffenen
In einem Rundmail an betroffene Kunden informiert die GIS derzeit über den entstandenen Datenverlust. Laut GIS-Schreiben werden gemeinsam mit dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (das ist das österreichische Pendant zum deutschen Bundesnachrichtendienst, hat aber weniger Befugnisse als letzterer) sowie spezialisierten IT-Unternehmen weitere Sicherungskonzepte implementiert, um derartige Angriffe in Zukunft besser abwehren zu können.
Web-Sicherheit 