Abo
  • Services:
Anzeige
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

Anzeige

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen 

eye home zur Startseite
User_x 13. Apr 2016

eben, kann. kann man aber auch mit einem stein... das abendland hat damit bestimmt...

Ebola 10. Apr 2016

Die haben einfach mal die Festplatten getauscht und die alten auf EBay verramscht...

quadronom 09. Apr 2016

Du solltest dir vielleicht erst einmal anschauen, wie das funktioniert. Und dann würdest...

quasides 09. Apr 2016

weniger geizu oft ist das einfach absolute überforderung und inkompetente beratung. und...

semperfidelis 08. Apr 2016

Ich finde ein 3 Monate altes WordPress gar nicht so veraltet und ok Outlook WebAccess von...



Anzeige

Stellenmarkt
  1. Lidl Digital, Leingarten
  2. Max Weishaupt GmbH, Schwendi
  3. Treif Maschinenbau GmbH, Oberlahr
  4. R&S Cybersecurity gateprotect GmbH, Hamburg


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 599€ + 5,99€ Versand

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  1. Wieso emuliert man x86 auf ARM, warum kompilliert...

    Nachtschatten | 00:45

  2. Re: schlechter Artikel - völlig falsch interpretiert!

    philipp1411 | 00:30

  3. Re: Wasserstoff ist genau wie die SPD...

    ChMu | 00:24

  4. Re: und was ist jetzt der Vorteil gegenüber...

    Shik3i | 00:22

  5. Re: Wie immer war alles nur ein "Versehen"

    Shik3i | 00:20


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel