12. Dezember 2011
Wie heise.de berichtet, ist in den Niederlanden der Webserver des Zertifikatsausstellers Gemnet gehackt worden. Gemnet stellt in den Niederlanden digitale Zertifikate aus, die verwendet werden um die rechnergestützte Kommunikation, u.a. auch die der Regierung (?), abzusichern.
Dass Rechner gehackt werden können, ist nicht neu und kommt leider immer wieder vor. Bemerkenswert an diesem Fall ist aber, dass ausgerechnet ein Unternehmen, das sein Geld damit verdient, die digitale Kommunikation sicher zu machen, offenbar ganz grundlegende Regeln für die Absicherung der eigenen IT-Systeme nicht beherzigt.
Wie sonst lässt sich erklären, dass die Datenbank des gehackten Webservers gar nicht mit einem Passwort gesichert gewesen sein soll? In Kombination mit einem nur schwachen Administratorkennwort kommt diese Sicherheitslücke geradezu einer Einladung gleich, den Webserver unter fremde Kontrolle zu bringen.
So wundert es dann kaum noch, dass der Eindringling in diesem Fall anschließend auch auf sicherheitsrelevante Informationen zugreifen konnte, inkl. technischen Details zum Virtual Private Network (VPN), über das die Muttergesellschaft von Gemnet, das niederländische Telekommunikationsunternehmen KPN, mit vielen niederländischen Unternehmen sowie Behörden verbunden ist, darunter die Polizei, das Finanzamt und das Ministerium für Sicherheit und Justiz.
Doch damit nicht genug: Aus diesen Informationen geht lt. Bericht hervor, dass sich viele Behörden unverschlüsselt mit dem VPN verbunden haben. Zudem seien Werkzeuge verwendet worden, die für Ihre Sicherheitsrisiken bekannt sind, z.B. telnet für den Administratorzugang zur Firewall.
Wenn auch in diesem Fall die Server, die die digitalen Zertifikate erzeugen, von der Attacke nicht betroffen waren, ist doch immer wieder verwunderlich, wie nachlässig an manchen Stellen mit Sicherheitsmaßnahmen umgegangen wird. Wenn wie hier sämtliche Maßnahmen, die zu den Grundregeln der Absicherung von Systemen zählen, außer Acht gelassen werden, darf man sich am Ende nicht wundern, wenn die Systeme Böswilligen mit weit geöffneten Scheunentoren einladend zuwinken.
Schade nur, dass durch Vorfälle dieser Art unweigerlich eine ganze Branche diskreditiert wird.