Panama Papers: das Resultat einer vernachlässigten IT Security
Finanzwelt, Justiz und Politik wurden durch sie spürbar durcheinander gebracht: die Panama Papers. Aber wie konnten Unbekannte 2,6 Terabyte an Daten bei Mossack Fonseca einfach so entwenden?
Einflussreiche Politiker und Industriekapitäne, sowie einige Spitzensportler scheinen über Offshore-Unternehmen in großem Maßstab Steuern hinterzogen zu haben oder, wenn man es etwas diplomatischer ausdrücken möchte, den Fiskus umgangen zu haben. Nicht per Definition strafbar, aber moralisch verwerflich, wird meist schnell hinzugefügt.
Aber es gibt noch einen Bereich, der sich zu diesem Mega-Datenleck noch nicht geäußert hat: die IT Security-Welt. Es ist noch nicht klar, wie genau dieses Datenleck zustande kam. Mossack Fonseca (MF), das juristische Beratungsunternehmen, dem 2,6 Terabyte (!) an Daten entwendet wurden, geht selbst davon aus, dass die Daten über einen gehackten E-Mail-Server und einen „Angriff auf die Datenbank“ gestohlen wurden, gibt aber keine weiteren Details preis. Das Unternehmen gab an, eine gründliche Untersuchung veranlasst zu haben.
Glücklicherweise ist die IT-Security-Welt bei derartigen Geheimnissen sehr hilfsbereit. Verschiedene Sicherheitsexperten haben sich bereits auf die Sache gestürzt, was inzwischen bereits zu mehreren plausiblen, gut untermauerten Theorien führte. Und die sind wirklich erschreckend. Ich werde einige Sicherheitsschnitzer durchgehen, wobei ich natürlich nicht sicher sein kann, dass der tatsächliche Modus Operandi mit einer dieser Schwachstellen zu tun hat.
- Die Website von MF ist eine WordPress-Website. Wie bekannt, ist es notwendig, WordPress-Sites und vor allem auch die benutzten Zusätze sehr regelmäßig zu aktualisieren, weil oft Lecks darin gefunden werden. Die Version, die Mitte April lief, wurde vor vier Monaten zuletzt aktualisiert.
- Der WordPress-Server lief im selben Netzwerk wie die Datenbank mit allen Kundenakten.
- Die Website von MF arbeitet mit einem undichten WordPress-Plug-in: Revolution Slider. Dieses Plug-in wird bereits seit 2014 aktiv angegriffen.
- Die Login-Daten des Mailservers wurden in Klartext in einem anderen WordPress-Plug-in gespeichert.
- Es gab ein Kundenportal, in das Kunden sich einloggen konnten. Hierfür wurde eine undichte Version von Drupal verwendet, die 25 verschiedene Sicherheitslecks enthielt. Drupal wurde seit 2013 nicht mehr aktualisiert.
- Der Mailserver von MF war schon seit 2009 nicht mehr aktualisiert worden und enthielt daher zahllose Sicherheitslücken.
- Für das Kundenportal wurde das gefährdete SSL v2-Protokoll verwendet.
- Die Website war für SQL-Injections anfällig.
- E-Mails wurden nicht verschlüsselt.
- Aufgrund der Merkmale des Lecks (der großen Datenmenge und der Tatsache, dass die Daten tröpfchenweise ans Licht kamen), gehen einige Experten davon aus, dass es sich auf jeden Fall um einen „Inside Job“ gehandelt haben muss. Möglicherweise ein Arbeitnehmer, der nicht auf einmal Zugang zu allen Daten hatte und jeweils nur die Zeit hatte, die Informationen über einen längeren Zeitraum stückchenweise zu stehlen.
Für die ersten acht Theorien gilt, dass ein erheblicher Mangel an Informationssicherung und IT-Schutz vorlag. Für die letzte Theorie gilt dies nicht unbedingt, obwohl es mit Sicherheit Technologien gibt, die einen „Inside Job“ stark erschweren. So kann beispielsweise der Zugang zu sensiblen Daten nur auf die Personen beschränkt werden, die selbst mit der betreffenden Angelegenheit befasst sind oder die Anfertigung digitaler Kopien von Daten in der Datenbank kann verhindert werden. Ein sehr motivierter Datendieb kann natürlich noch immer Fotos von seinem Bildschirm machen oder altmodisch Bleistift und Papier zur Hand nehmen, aber das schafft niemand mit 11,5 Millionen Dokumenten, die 2,6 Terabyte an Informationen ausmachen.
Warum ist dies nun für den Rest der Welt von Bedeutung?
Weil dieses Datenleck ein Symptom eines Problems ist, dass sich in allen Sektoren zeigt. Laut dem Informationssicherheitsexperten Dr. Daniel Dresner ist eine schlechte IT- und Informationssicherung in Anwaltskanzleien eher die Regel als die Ausnahme. Und das, obwohl gerade Anwaltskanzleien Unternehmen sind, die über Informationen verfügen, die vertraulich bleiben müssen. Außerdem arbeiten in Anwaltskanzleien überdurchschnittlich intelligente Menschen, die auch noch überdurchschnittliche Kenntnisse des Gesetzes haben. Sie können sich also kaum hinter der Entschuldigung „Ich wusste nicht, dass wir verpflichtet sind, unsere Kundendaten gründlich zu schützen“ verstecken. Ich kann mir daher vorstellen, dass es in anderen Sektoren noch viel schlechter um den Schutz von Informationen bestellt ist.
Was das betrifft, kann meiner Meinung nach die neue Datenschutzrichtlinie der Europäischen Kommission, die eine derart lasche Haltung in Zusammenhang mit dem Schutz von Informationen vollkommen illegal macht, gar nicht schnell genug in Kraft treten. Allerdings befürchte ich, dass dies alles erst wirklich Eindruck macht, wenn die ersten Bußen in Millionenhöhe verhängt sind.
Dieser Artikel wurde von Eddy Willems ursprünglich im belgischen Online-Magazin knack.be veröffentlicht.