Markus Söder, CSU, preiselbauer
Markus Söder, CSU, preiselbauer

CSU: Webseite der Landtagsfraktion voller kritischer Sicherheitslücken

Nach wenigen Minuten Suche fielen dem Sicherheitsforscher Heiko Frenzel zahlreiche Lücken der Webseite der CSU-Landtagsfraktion ins Auge.

Schon nach fünf Minuten Suche fielen dem Sicherheitsforscher Heiko Frenzel zahlreiche Lücken der Webseite der CSU regelrecht ins Auge. Genauer gesagt der Seite der CSU-Landtagsfraktion. Den Umgang der Partei mit sensiblen Daten, FTP-Zugängen u.v.m. beschreibt Frenzel als ein „Worst Case Szenario“, wie er auf seinem Blog schreibt. Die Admins hatten dort ungeschützt ca. 800 verschiedene Zugangsdaten unverschlüsselt hinterlegt. Hacker hätten im Fall der Fälle ohne Frage eine fette Beute gemacht.

CSU demonstriert, wie eine Digitalisierung eben NICHT aussehen sollte

Heiko Frenzel Logo

Die bayerische CSU ist nach eigenen Angaben beim Thema Digitalisierung ganz vorne dabei, so zumindest die Theorie. In der Praxis gab es auf der Seite der CSU-Landtagsfraktion diverse XSS-Lücken und viele Scripts, die man dort hätte einschleusen und ausführen können. Dazu kam eine SQL-Injection Schwachstelle über die Angreifer vollen Zugriff auf die Datenbank erlangen konnten. Teil der zugänglichen Datenbank waren rund 300 Zugangsdaten von Abgeordneten und anderen Landtagsmitarbeitern. Die Passwörter hatte man lediglich md5 gehasht. Sie lagen also mehr oder weniger unverschlüsselt vor. Die Passwörter einiger Personen sollen dabei überaus wenig einfallsreich gewesen sein. Damit hätten Cyberkriminelle Zugriff auf weitere Bereiche erhalten können. Das Passwort von Markus Thomas Söder, dem Ministerpräsidenten Bayerns, soll dabei eben keine löbliche Ausnahme dargestellt haben. Neben Zugriffen auf die hinterlegten Inhalte der Webseite hätten Hacker auch die Besucher mit Schadsoftware bereichern können.

800 Zugangsdaten u.v.m. im Angebot der CSU-Landtagsfraktion

csu fraktion bayerischer Landtag

Last, but not least kam ein File-Inclusion Bug dazu, der den Download jeglicher Daten ermöglicht hat. Auf dem öffentlichen Verzeichnis des Webservers hatte man eine Konfigurationsdatei mit 500 weiteren Zugangsdaten von Abgeordneten, E-Mail-Konten, FTP-Zugänge, Newsletter-Systemen und vieles mehr hinterlegt. „Um den Ernst der Sache besser verstehen zu können: Für einen erfolgreichen Angreifer wäre das der ultimative Generalschlüssel gewesen“, schreibt Heiko Frenzel. Die Sicherheitslücken der CSU Seite waren „historischer“ Natur, vermerkt er auf seinem Blog.

Kein Dankeschön von der Führungsriege

Frenzel kontaktierte einen ihm persönlich bekannten MdL und teilte ihm den Ernst der Lage mit. Zu den notwendigen Informationen übermittelte er dann noch einen detaillierten Report über die Lücken. Aller Wahrscheinlichkeit nach konnte er damit Schlimmeres verhindern. Zumindest ist bisher kein Hack der Zugänge von Mitgliedern der CSU-Landtagsfraktion bekannt geworden.

Markus Söder, CSU

Wie üblich nahm der IT Dienstleister keine Bezahlung für seine Hilfestellung. Ihm geht es um die Herstellung von Sicherheit und nicht um eine persönliche Bereicherung, wie er schreibt. Ein Dankeschön aus den Reihen der CSU-Spitzenpolitiker hätte er sich dennoch gewünscht. Doch die schweigen beharrlich, was ihn sichtlich frustriert. Andere Hinweisgeber von Sicherheitslücken hat es vor Jahren noch deutlich schlechter getroffen.

„Mich freut es sehr, dass ich den wahrscheinlichen „Super-GAU“ verhindern konnte. Anmerken möchte ich für den Leser jedoch noch, dass es aus der „Führungs-Ebene“ keine Reaktion und auch keinen Dank in irgendeiner Form gab. Für einen „High-Tech“ Minister ein Armutszeichen.“

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.