Original-URL des Artikels: https://www.golem.de/news/panama-papers-die-katastrophale-it-sicherheitspraxis-von-mossack-fonseca-1604-120194.html    Veröffentlicht: 07.04.2016 11:16    Kurz-URL: https://glm.io/120194

Panama Papers

Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

Das Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt - und könnte so zum Abfluss der Dokumente beigetragen haben, wie Wired berichtet. Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten. Die Enthüllungen sorgen unterdessen für Unruhen in Island: Dort wird über Schrödingers Premierminister gerätselt.

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Drown und SQL-Injektionen

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden "geschäftliche Informationen überall und allerorten" einsehen können. Unter den Drupal-Schwachstellen befindet sich auch eine Anfälligkeit für SQL-Injektionen.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde. Es zeigt aber, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Es gibt Kritik an den Veröffentlichungen

Der 2,6 TByte große Datensatz enthält Informationen über 214.488 Offshore-Firmen. Die Informationen bestehen aus 4,8 Millionen E-Mails, 3 Millionen Datenbank-, 2,1 Millionen PDF- und 320.166 Textdateien.

Kritiker der Veröffentlichungen bemängelten, dass die Journalisten bislang keine Informationen über US-Bürger veröffentlicht haben und vermuten einen Bias der Medien. Tatsächlich sind nach Angaben des Internationalen Journalistenkonsortiums ICIJ Daten von US-Bürgern enthalten. Nach wie vor erscheinen Geschichten, so dass früher oder später auch eine Veröffentlichung mit US-Bezug zu erwarten ist.

USA sind selbst ein Offshore-Paradies

Dafür, dass trotzdem relativ wenig Daten von US-Bürgern enthalten sind, gibt es aber eine relativ einfache Erklärung: In den USA haben sich Bundesstaaten wie Delaware und Nevada mittlerweile selbst zu Offshore-Finanzplätzen entwickelt, so dass sich steuerunwillige US-Bürger nicht in Panama nach geeigneten Briefkästen umschauen müssen.

Die Panama Papers haben unterdessen weitgehende Auswirkungen auf die Politik in Island. Derzeit ist unklar, ob der Premierminister zurückgetreten ist oder nicht. In dem Land kursiert daher zur Zeit der Ausdruck "Schrödingers Premierminister". Tatsächlich hatte Premier Davíð Gunnlaugsson zunächst seinen Rücktritt erklärt, später aber behauptet, er wolle seine Amtsgeschäfte nur vorübergehend ruhen lassen.

In Island herrschen seit der Finanzkrise im Jahr 2008 strenge Kapitalverkehrskontrollen. Wer als Isländer im Ausland ein Auto kaufen will, braucht dafür zunächst eine Genehmigung der Zentralbank. Auch deshalb dürfte die Aufregung der Isländer über Offshore-Firmen ihres Premierministers so groß sein.  (hg)


Verwandte Artikel:
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig   
(29.11.2017, https://glm.io/131370 )
Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert   
(07.10.2015, https://glm.io/116741 )
Cortana-Integration: Outlook Mobile wird sich mit der Sprache bedienen lassen   
(06.03.2018, https://glm.io/133156 )
CMS: Drupal 8.4 stabilisiert Module   
(06.10.2017, https://glm.io/130479 )

© 1997–2018 Golem.de, https://www.golem.de/