Axel Springer AG schließt kritische Sicherheitslücken – per Zufall

Bei diesem Fall muss man schon ein wenig von Glück und Zufall sprechen. Die Axel Springer AG – einer der größten Medienkonzerne dieser Welt – hat zum Teil höchst kritische Sicherheitslücken im „Hörzu Shop“ (www.hoerzu-shop.de) geschlossen. Wobei man eigentlich nicht von „schließen“ sprechen kann, denn die Beseitigung der Sicherheitslücken wurde zufällig mit einem Relaunch des Onlineshops erledigt. Bekannt war mir die Sicherheitsproblematik schon einige Zeit zuvor. Aber beginnen wir doch gerne von Anfang an…

Ende Januar bin ich über ein Sicherheitsproblem in einem Portal der Axel Springer AG gestolpert. Da der Medienkonzern so einige Internetportale betreibt, habe ich auch in anderen Internetangeboten nachgesehen, ob die aufgedeckte Problematik auch dort vorhanden ist. Bei der kurzen Recherche habe ich auch den Onlineshop der Zeitschrift „Hörzu“ aufgerufen – welche ebenfalls zur Axel Springer AG gehört – und bin dort über ein noch weit größeres Sicherheitsproblem gestolpert, welches einem Angreifer den Zugriff auf Datenbanken, sowie Informationen über Kunden und deren Konto- und Zugangsdaten ermöglichte. Durch ungefilterte Parameter der Webanwendung war es möglich, die Verarbeitung der Parameter zu manipulieren und so die Datenbankabfragen zu verändern. Dies ermöglicht einem Angreifer eigene Datenbankabfragen auszuführen, sowie bei entsprechender Konfiguration des Systems auch das Eindringen in Bereiche auf Administrationsebene. Aus rechtlichen Gründen war es mir allerdings nicht erlaubt, einen genaueren Blick auf die vorhandenen Datensätze zu werfen (eine Datenbankabfrage wäre strafrechtlich relevant, daher wird grundsätzlich ohne Einwilligung der Betreiber auf detaillierte Abfragen verzichtet). Da es sich um einen Onlineshop handelt, kann man aber mit großer Wahrscheinlichkeit davon ausgehen, dass sämtliche Informationen über Kunden, deren Zugriffsdaten (E-Mail Adressen, Passwörter, …), Kontoinformationen und ggf. auch Kreditkartendaten, Bestellinformationen, und weitere Datensätze innerhalb der Datenbank abgespeichert und somit für einen Angreifer erreichbar waren.

Direkt nach der Aufdeckung der Schwachstellen, habe ich mit der Axel Springer AG Kontakt aufgenommen und auch bereits vorhandene Kontakte zur ComputerBILD genutzt, um meine Meldung bezüglich der Sicherheitsproblematik absetzen zu können. Nun, die Leser von Sicherheit-Online und so gut wie alle Betreiber von Internetportalen – die bisher von Sicherheitswarnungen durch Sicherheit-Online die eigenen Angebote absichern und Nutzer schützen konnten – wissen, dass das grundsätzliche Prinzip die kostenfreie Hilfe bei Sicherheitsproblemen ist. In seltensten Fällen wurde für die Unterstützung eine Gegenleistung/Bezahlung gefordert. Bei den Ausnahmefällen handelte es sich um Unternehmen, die direkte Leistungen bezogen und damit Arbeitsleistung und Aufwände bezahlt haben.

Ich habe bei der Axel Springer AG aus ganz bestimmten Gründen eine angemessene Gegenleistung für die sicherheitsrelevanten Informationen vorausgesetzt. Das heißt, ich wollte in dem Fall schlichtweg nicht mehr die Arbeit für einen Großkonzern und dessen Angestellte erledigen, um deren Zahlvieh (Kunden & Besucher) vor Angriffen zu schützen. Warum ich eine Gegenleistung verlangt habe?

Die Axel Springer AG hat in den vergangenen Jahren bereits mehrfach (!) in verschiedenen Portalen und Angeboten, von meiner persönlichen Unterstützung profitiert und konnte diverse Sicherheitslücken schließen, weil ich mich persönlich bemüht habe, den Betreibern Sicherheitslücken in deren Systemen mitzuteilen und Lösungen zu präsentieren. Es ist für mich eine Selbstverständlichkeit, Sicherheitslücken ohne Gegenleistung zu melden und – ohne Bezahlung – für mehr Sicherheit im Netz zu sorgen. Tausende Betreiber können dies bestätigen und hunderte Millionen Kundendaten wurden in den vergangenen Jahren alleine durch meine persönliche Unterstützung geschützt. Es macht mir einfach Spaß, mein Wissen und Können für die „gute Seite“ einzusetzen und da zu helfen, wo ich helfen kann. Wenn es aber bei einem Konzern dieser Größe, mit Milliardenumsätzen und eigenen IT-Abteilungen – ja selbst einem Fachbereich für IT-Sicherheit – ständig zu Sicherheitswarnungen durch mich kommt und ich damit eigentlich den Job der dort angestellten Mitarbeiter erledige, dann hat dies irgendwann seine Grenzen. Es kann nicht angehen, dass die dort beschäftigten Programmierer und Webentwickler ständig Bockmist bauen, wofür sie bezahlt werden und der „gutmütige Mensch da draußen“ ständig deren Fehler aufdeckt und bei der Beseitigung hilft, ohne jemals auch nur ein kleines „Dankeschön“ zu erhalten.

Da wären zum Beispiel die Sicherheitslücken bei der ComputerBILD, die 2011 (zum Beitrag) und 2012 (zum Beitrag) durch meine Hinweise und zum Teil durch Meldungen von Kollegen geschlossen werden konnten. Herr Pursche von der ComputerBILD hat sich damals sehr nett bedankt, eine Gegenleistung wurde jedoch – selbstverständlich – nicht gefordert. Ebenso beim Portal meingutscheincode.de (zum Beitrag) der Axel Springer AG, welches auch Sicherheitslücken durch meine Informationen schließen konnte, wurde keine Gegenleistung gefordert. Und natürlich auch beim Fixday (zum Beitrag) wurde keine Gegenleistung für die Meldung der Schwachstellen bei Bild.de verlangt.

Selbst als damals das Internetportal Welt.de (ebenfalls Axel Springer AG) gehacked und dabei die gesamte Datenbank mit über 30.000 Kunden- und Kreditkartendaten kopiert/veröffentlicht (Beitrag bei Golem) wurde, habe ich für meine außerordentlichen Dienste keine Gegenleistung verlangt. Ich habe damals persönlich die Jagd nach dem Hacker gestartet und bin bei der Kripo Erding (Fachbereich IT-Kriminalität) – zusammen mit einem Datenträger mit möglichen Informationen zum Angreifer – als Zeuge aufgetreten, um somit als gutmütiger Bürger zu helfen, die Sache aufzuklären und den Angreifer ausfindig zu machen. Es ist garantiert nicht selbstverständlich, dass man derartigen Einsatz zeigt, um Betreibern von Internetportalen zu helfen. Für mich persönlich war dies aber meine Pflicht, zu helfen. Weitere Beispiele nenne ich an der Stelle nicht, denn es sollte bereits klar geworden sein, dass die Axel Springer AG durchaus mehrfach meine Zeit – for free – in Anspruch genommen hat.

Leider weiß man bei der Axel Springer AG derartige Hilfe nicht wirklich zu schätzen. So hat man auf meinen Hinweis mit Bitte um Kontaktaufnahme eher abweisend reagiert und klargemacht, dass die Axel Springer AG nicht bereit sei, für Sicherheitshinweise eine Prämie zu bezahlen oder jegliche andere Gegenleistung zu erbringen. Mir persönlich ging es nicht um Geld, sondern einfach um ein Entgegenkommen dafür, dass ich meine Freizeit für einen Medienkonzern opfere, der durchaus kein Problem damit haben sollte, derartige Hilfe zu entlohnen. Auch wenn ich die Käseblätter selbst nicht lese, wäre auch – von mir aus – ein einfaches Abo als Geschenk oder von mir aus ein kleiner Anriss zur Sache in einer Zeitschrift, ein nettes Entgegenkommen gewesen. Wie erwähnt war das Interesse der Axel Springer AG, an den Informationen zu den kritischen Sicherheitslücken scheinbar nicht gerade groß. Zum Abschuss der Sache, fand ich in der Antwortmail, welche mir von einem Herrn aus dem Bereich „Axel Springer Media Systems“ zugestellt wurde, eine Andeutung die mir nicht gefallen hat und die mir Grund für die folgende öffentliche Beantwortung gibt:

Lieber Herr M.,

mit meiner Aussage war gemeint, dass Details zur Sicherheitslücke nicht veröffentlicht werden (zumindest während die Gefahr noch besteht), da ich Ihre Kunden nicht in Gefahr bringen und den Kids da draußen Anreiz zum Hacken geben möchte. Ich habe nicht davon gesprochen, dass ich mir keine öffentliche Berichterstattung über die Sicherheitslücken bei der Axel Springer AG erlauben werde. Soll die Welt ruhig wissen, wie sicher man als Kunde bei der Axel Springer AG ist und wie höchst professionell man dort mit Sicherheitswarnungen von außen umgeht. Selbst der Vorfall bei Welt.de damals war nicht Grund genug für die Axel Springer AG, etwas an der Vorgangsweise zu Sicherheitsmeldungen zu ändern. Ich habe bereits mehrfach Meldungen von Dritten erhalten, die mit ihren aufgedeckten Schwachstellen nicht zu Ihnen durchdringen konnten. Dass man bei der Axel Springer AG dermaßen arrogant und ignorant reagiert, sowie sicherheitsrelevante Unterstützung nicht zu schätzen weiß, hat mich dazu gebracht, alle Unterstützer von Sicherheit-Online zu bitten, bezüglich Schwachstellen bei Portalen der Axel Springer AG künftig keinerlei Sicherheitsmeldungen mehr zu tätigen. Ich bin nicht mehr bereit, Ihren Job zu erledigen und Ihre Kunden vor Angriffen zu schützen.

Also entschied ich, die Sache temporär zur Seite zu legen und einfach mal zu warten. Vor wenigen Tagen habe ich dann entdeckt, dass der Onlineshop unter hoerzu-shop.de ein neues System und Design erhalten hat. Natürlich habe ich in diesem Zug nochmal kontrolliert, ob die Sicherheitsproblematik damit ebenfalls beseitigt wurde. Tatsächlich wurde die Schwachstelle durch das neue System beseitigt. Da hatten wir noch einmal Glück, nicht wahr liebe Axel Springer AG?

Bildquelle: Wikipedia – Beek100