Abo
  • Services:

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Artikel veröffentlicht am ,
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

Inhalt:
  1. Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca
  2. Es gibt Kritik an den Veröffentlichungen

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Mannheim
  2. ING-DiBa AG, Frankfurt

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 45,99€
  2. 18,99€
  3. 34,99€

User_x 13. Apr 2016

eben, kann. kann man aber auch mit einem stein... das abendland hat damit bestimmt...

Ebola 10. Apr 2016

Die haben einfach mal die Festplatten getauscht und die alten auf EBay verramscht...

quadronom 09. Apr 2016

Du solltest dir vielleicht erst einmal anschauen, wie das funktioniert. Und dann würdest...

quasides 09. Apr 2016

weniger geizu oft ist das einfach absolute überforderung und inkompetente beratung. und...

semperfidelis 08. Apr 2016

Ich finde ein 3 Monate altes WordPress gar nicht so veraltet und ok Outlook WebAccess von...


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Galaxy S10e im Test: Samsungs kleines feines Top-Smartphone
Galaxy S10e im Test
Samsungs kleines feines Top-Smartphone

Mit dem Galaxy S10e bietet Samsung auch ein kompaktes Modell seiner neuen Oberklasse-Smartphone-Serie an. Beim Gerät gibt es zwar ein paar Abstriche bei der Hardware, es liegt aber fantastisch in der Hand und macht super Fotos - für uns der klare Geheimtipp der neuen Reihe.
Ein Test von Tobias Költzsch

  1. Samsung Galaxy M20 kommt an drei Tagen nach Deutschland
  2. Smartphone Samsungs LPDDR4X-Speicher fasst 12 GByte
  3. Non-Volatile Memory Samsung liefert eMRAM aus

    •  /