Abo
  • Services:

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Artikel veröffentlicht am ,
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon.
Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters)

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

Inhalt:
  1. Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca
  2. Es gibt Kritik an den Veröffentlichungen

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Stellenmarkt
  1. Bosch Gruppe, Hildesheim
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 59,98€ mit Vorbesteller-Preisgarantie (Release 12.10.)
  2. (-82%) 8,88€
  3. 33,49€
  4. 33,99€

User_x 13. Apr 2016

eben, kann. kann man aber auch mit einem stein... das abendland hat damit bestimmt...

Ebola 10. Apr 2016

Die haben einfach mal die Festplatten getauscht und die alten auf EBay verramscht...

quadronom 09. Apr 2016

Du solltest dir vielleicht erst einmal anschauen, wie das funktioniert. Und dann würdest...

quasides 09. Apr 2016

weniger geizu oft ist das einfach absolute überforderung und inkompetente beratung. und...

semperfidelis 08. Apr 2016

Ich finde ein 3 Monate altes WordPress gar nicht so veraltet und ok Outlook WebAccess von...


Folgen Sie uns
       


So stellt sich Transdev den Einsatz autonomer Busse vor

Das französische Nahverkehrsbetrieb Transdev will künftig Fahrgäste mit autonomen Bussen befördern. Das Video stellt das Konzept vor.

So stellt sich Transdev den Einsatz autonomer Busse vor Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa

    •  /