Schwachstelle bei der DHPol beseitigt

Die "Deutsche Hochschule der Polizei" (DHPol) wurde vor knapp 2 Wochen auf eine Schwachstelle in deren Internetportal hingewiesen. Ungefilterte Parameter in der Suchfunktion - ein Paradebeispiel für XSS - ermöglichten die Manipulation der Anwendung und somit das Einschleusen von externen Dateien bzw. Schadcode in die Seitenausgabe. Natürlich wurde der Fund sofort an die verantwortlichen Betreiber geleitet und um entsprechende Rückmeldung gebeten. ...

Ein Angreifer hätte die Schwachstelle zu gezielten Phishing-Attacken oder bei ggf. auch für mehr ausnutzen können. Eine Sicherheitslücke im Webbrowser eines Admins hätte gereicht, um beim Klick auf einen präparierten Link in die Falle zu geraten. So hätte sich ein Angreifer gezielt Zugriff auf das System oder gar den PC des Opfers verschaffen können. Da die Technik unserer Behörden und Hochschulen bekanntlich nicht immer aktuell sein muss, wäre die Möglichkeit für so einen Angriff sicherlich nicht unwahrscheinlich gewesen. Erst kürzlich habe ich mich mit einem Beamten über die Risiken unserer Behörden unterhalten und aufgezeigt, wie schnell ein kleiner Fehler bzw. ein Fehlverhalten zu einer großen Problematik führen könnte. 

Die Betreiber haben in den vergangenen Tagen reagiert und konnten die Schwachstelle beseitigen. Allerdings - und dies finde ich persönlich ein wenig schade - hat man es scheinbar versäumt, zumindest ein "Danke für den Hinweis" auszusprechen. Leider blieb mein meine Nachricht an die DHPol bis heute unbeantwortet. Lediglich das Landesamt für Zentrale Polizeiliche Dienste (LZPD) hat einen besonderen Dank für den Hinweis ausgesprochen. Ich hatte das LZPD ebenfalls über die Problematik informiert, da es bereits eine Unterhaltung bezüglich einer anderen Sache gab und ich mir sicher war, dass man meinen Hinweis auch von offizieller Stelle nochmal weiterleiten würde. Oftmals werden Hinweise einfach ignoriert, da tut es gut, wenn von offizieller Stelle ebenfalls eine Meldung eintrifft.