Web-Sicherheit

August 29, 2011

Sicherheitslücken in Computersystemen der deutschen Bundespolizei

Filed under: Allgemein — sebastiankuebeck @ 11:05
Tags: , , , ,

Laut diesem Artikel im Spiegel ist das Computersystem der deutschen Bundespolizei mit sensiblen Daten über verdeckte Ermittler, V-Leute und geheime Operationen offenbar in einem verheerenden Zustand.

Bei einer Revision nach einem Hacker-Angriff im Juli dieses Jahres haben Experten jetzt an dem betroffenen Standort gravierende Mängel festgestellt: Hardware und Programme seien veraltet, Sicherheitssysteme nicht vorhanden oder unzureichend. Nicht einmal das Personal werde den Anforderungen für einen sicheren Betrieb gerecht, heißt es in dem vertraulichen Bericht. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie wegen mangelnder Dokumentation ohnehin kaum in der Lage. Dies führe zu einer „als kritisch zu wertenden Abhängigkeit von einzelnen Personen“.

Zudem sei völlig unklar, wer innerhalb des Systems Regeln aufstellen und verändern dürfe. Damit könne dies praktisch jeder tun; das werde noch nicht einmal ausreichend registriert. Die internen Prüfer weisen in ihrem Bericht auf ein weiteres, gravierendes Risiko hin. Dabei geht es um den Zugang von Fahndern, die bei Observationen und Dienstreisen auch von außen Zugriff auf das System haben müssen. Dazu würden „unsichere Klartext-Protokolle“ benutzt, monieren die Experten. Viele zusätzliche Anwendungen seien zudem veraltet. Nicht ausreichend gesichert sei auch die sensible sogenannte Wechseldatenträgerschleuse – etwa für USB-Sticks oder CDs. Hacker, so das Fazit der Prüfer, könnten nach wie vor in das Polizeinetz eindringen. So sei es nicht nur möglich, an geheime Daten zu gelangen, sondern auch, die Software zu manipulieren und systemrelevante Einstellungen zu verändern.

Schon im Juni ist in einen nicht ausreichend gesicherten Server der Zollbehörde eingebrochen worden. Die Hackergruppe NN-Crew (sprich: No-Name-Crew) konnte sich Zugang zu diesem Server verschaffen und dort GPS-Positionsdaten von verdächtigen Fahrzeugen entwenden und Veröffentlichen.

Nein, dass kommt nicht überraschend und nein, das war nicht der letzte Vorfall dieser Art. Und ja, die anderen Systeme der Bundespolizei sind auch nicht sicherer, genauso wenig wie die der Behörden in Österreich, in der Schweiz oder sonstwo. Natürlich stimmt auch, dass wir immer nur das über Sicherheitsvorfälle erfahren, was sich unter keinen Umständen mehr vertuschen lässt…

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: