Abo
  • Services:

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Artikel veröffentlicht am ,
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

Inhalt:
  1. Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca
  2. Es gibt Kritik an den Veröffentlichungen

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Stellenmarkt
  1. Randstad Deutschland GmbH & Co. KG, Heidelberg
  2. Bechtle Onsite Services, Neckarsulm, Stuttgart, Ingolstadt

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

User_x 13. Apr 2016

eben, kann. kann man aber auch mit einem stein... das abendland hat damit bestimmt...

Ebola 10. Apr 2016

Die haben einfach mal die Festplatten getauscht und die alten auf EBay verramscht...

quadronom 09. Apr 2016

Du solltest dir vielleicht erst einmal anschauen, wie das funktioniert. Und dann würdest...

quasides 09. Apr 2016

weniger geizu oft ist das einfach absolute überforderung und inkompetente beratung. und...

semperfidelis 08. Apr 2016

Ich finde ein 3 Monate altes WordPress gar nicht so veraltet und ok Outlook WebAccess von...


Folgen Sie uns
       


Amazons Echo Plus (2018) - Test

Der neue Echo Plus von Amazon liefert einen deutlich besseren Klang als alle bisherigen Echo-Lautsprecher. Praktisch ist außerdem der eingebaute Smart-Home-Hub. Der integrierte Temperatursensor muss aber noch bessser in Alexa integriert werden. Der neue Echo Plus ist zusammen mit einer Hue-Lampe von Philips für 150 Euro zu haben.

Amazons Echo Plus (2018) - Test Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

    •  /