EU ignoriert höchst kritische Sicherheitslücken
sToRm 
Vor über einem Monat haben wir die EU-Kommission über eine hohe Anzahl sehr kritischer Sicherheitslücken informiert und um Kontakt gebeten, damit wir Details über die aufgedeckten Schwachstellen übermitteln können. Die Hinweise wurden per E-Mail an diverse Zuständigkeitsbereiche der Europäischen Kommission gesendet. Die ersten 10 Hinweise, die über den Zeitraum verteilt gesendet wurden, hat man schlichtweg einfach ignoriert, zum Teil auch ungelesen gelöscht. Dies geht aus den jeweiligen Sendeberichten hervor, die hier natürlich vorliegen. Durch einen zufälligen Fund ...
...innerhalb des Internetportals der EU-Kommission, wurde man sehr aufmerksam und wollte zur Sicherheit nocheinmal genauer nachsehen. Diverse Parameter in verschiedenen Funktionen des Portals werden nur unzureichend und teilweise - scheinbar - überhaupt nicht gefiltert. Binnen weniger Minuten konnten wir auch in anderen Internetportalen der Europäischen Regierung, sowie weiteren zugehörigen Portalen, diverse, gravierende Sicherheitsprobleme feststellen. Über 40 Möglichkeiten einer SQL Injection, bei der ein Zugriff auf sämtliche Datenbanken der Server bzw. der jeweiligen DB-Nutzer möglich wäre, unzählige XSS Schwachstellen die zu gezielten Spähangriffen und möglicherweise auch zur Verbreitung von Malware dienen könnten und viele weitere Sicherheitsprobleme, konnten ohne große Anstrengungen aufgedeckt werden. Da es uns aus rechtlichen Gründen nicht gestattet ist, die jeweilig bedrohten Informationen zu erkunden oder gar die jeweiligen Sicherheitslücken zum Test auszunutzen, können wir keine genauen Informationen bekannt geben, welche Daten, Informationen, Dokumente, Nutzerdaten oder vielleicht auch E-Mail Konten von den Schwachstellen betroffen sind.
Theoretisch wäre es möglich, dass sämtliche Inhalte und Dokumente von diversen Portalen der europäischen Regierung durch Angreifer manipuliert werden könnten. Sollten sich auch E-Mail Postfächer oder vertrauliche Informationen der EU auf den jeweiligen Systemen befinden, dann möchten wir die Gefahr garnicht öffentlich aussprechen bzw. schreiben. Man kann sich das Problem sicherlich vorstellen. Darum verurteilt man hier das verantwortungslose Vorgehen besonders. Wie gravierend die Probleme sind oder welche Daten genau auf den Servern herumliegen, weiß man jedoch wie bereits erwähnt nicht.
Fakt ist aber, dass man bei den Verantwortlichen erst nach über 10 Hinweisen und mehreren Wochen Wartezeit, sowie der Androhung der öffentlichen Berichterstattung, überhaupt auf die Warnhinweise reagiert hat. Dies passierte dann mit einer eher unfreundlichen Antwort, die lediglich die Information enthielt, dass der Hinweis an die zuständigen Experten der Europäischen Kommission weitergeleitet wurde. Zudem wurde man gebeten "Bitte sehen Sie von weiteren Mail-Anfragen ab.", was deutsch so viel heißt wie "Interessiert uns nicht...". Man hat weder nach Details zu den Problemen gefragt, noch in irgendeiner Art und Weise versucht, nähere Informationen zu erfahren. Ein einfaches "Danke" konnte man ebenso nicht erwarten.
Seit fast 3 Wochen warten wir nun auf eine Rückmeldung. Bisher ist rein garnichts passiert. Es wurde weder genauer nachgefragt, noch hat man in Eigenregie die Schwachstellen beseitigt. So wie es aussieht legt man bei der EU nicht wirklich viel Wert auf die eigene Sicherheit. Viel wichtiger ist es doch, die eigenen Bürger vor Übergriffen zu bewahren und mit Eifer im Kontrollzwang an neuen Techniken zu arbeiten, die der Überwachung unschuldiger Leute dient. Die EU hat ja erst kürzlich ein Ultimatum an Deutschland gestellt, was die Einführung der Vorratsdatenspeicherung betrifft. Immer wieder werden als Grund für derartige Überwachungssysteme, Terror, IT-Sicherheit bzw. Straftaten, Strafverfolgung usw. genannt. Unsere feinen Herren Politiker behaupten ja grundsätzlich und immer wieder, dass der Staat sich um die Sicherheit der Bürger kümmern muss. Dabei sollten sich die jeweilig Verantwortlichen erstmal um die eigenen Probleme kümmern und lernen, wie man Systeme absichert, bevor sie mit Überwachungstechnologie spielen.
Hier hat man definitiv nicht den Eindruck gewonnen, dass es den Herren "da oben" ernsthaft um die Sicherheit geht, denn wäre dies der Fall, hätte man sofort reagiert und nachgefragt. Offenbar hat man bei der EU-Kommission auch längst nicht den Ernst der Lage verstanden. Auch die gutmütige Absicht des Projektes Sicherheit-Online.org scheint man nicht wirklich zu verstehen. Statt Lob für die ehrenamtliche Hilfe zu ernten, musste man sich vor wenigen Tagen für die gutmütige Tätigkeit vor den Behörden rechtfertigen. Traurig, aber wahr.
Update 05.12.2011
Inzwischen hat man den Kontakt mit den Beauftragten bereits hergestellt (vielen Dank an Florian Walther von curesec, für die Unterstützung). Die Liste mit den genannten Schwachstellen wurde bereits übersandt und auch eine Rückmeldung ist vor etwa einer Stunde eingetroffen. Ich hoffe, dass die Schwachstellen möglichst schnell beseitigt werden können. Auch die direkte Unterstützung wurde den Zuständigen bereits angeboten. Dass nun doch noch recht schnell ein Kontakt hergestellt werden konnte, liegt sicherlich an der öffentlichen Berichterstattung zu diesem Fall, welche auch bei gulli stattgefunden hat. Vielen Dank an dieser Stelle für die Unterstützung. Natürlich wird bei Neuigkeiten über das weitere Vorgehen bzw. das Ergebnis der Hinweise an dieser Stelle berichtet.
Update 26.01.2012
Bald sind es 4 Monate, die seit der Sicherheitswarnung vergangen sind. Zwar hat man Kontakt aufgenommen und sich der Sache angenommen, allerdings habe ich nach dem Übersenden der Liste mit den Sicherheitslücken, keine Rückmeldung mehr erhalten. Scheinbar hielt man es nicht für nötig, mich über das weitere Vorgehen oder die mögliche Beseitigung zu informieren. So hab ich mir die kurze Mühe gemacht, einmal selbst nachzusehen. Halten Sie sich fest! Nach fast 2 Monaten und einer detaillierten Liste mit kritischen Sicherheitslücken, hat man es nicht geschafft, alle Schwachstellen zu beseitigen. Die Website der EU-Kommission ist weiter anfällig und Hacker können zu jeder Zeit, bequem in die Datenbank schnuppern, sich Dokumente besorgen oder diese vielleicht sogar verändern. Warum man selbst nach dieser langen Zeit - und die sollte wirklich ausreichen - nicht geschafft hat, alle Löcher zu stopfen, ist für mich auf keinen Fall nachvollziehbar. Warum man seit dem Übersenden der Sicherheitslücken auch keine Antwort mehr schrieb, ebenso.
Hier mal ein zensierter Ausschnitt aus der Liste, die vor knapp 2 Monaten an die Verantwortlichen gesandt wurde:
Ich bin gespannt, wie lange es noch dauern wird, bis zumindest die bekannten Sicherheitslücken beseitigt wurden. Natürlich werde ich das Thema weiter verfolgen und ggf. bei Neuigkeiten berichten.
