Unternehmer, IT-Sicherheitsexperte & Entwickler
  • Head of CYBERWAR.ARMY™ - We ❤ Cybersecurity

BÜNDNIS 90/DIE GRÜNEN Server gehackt & kompromittiert – Porno eBooks für alle?

gruene-de-server-hacked
Technik & IT-Sec

BÜNDNIS 90/DIE GRÜNEN Server gehackt & kompromittiert – Porno eBooks für alle?

Ein Server der Partei „DIE GRÜNEN“ wurde offensichtlich zum Ziel eines Hackerangriffs. Mehrere Subdomains beinhalten unzählige Daten, die auf eine Kompromittierung des Systems schließen lassen. Und so wie es aussieht, hat man dies über Monate gar nicht bemerkt. Ob weitere Bereiche oder gar sensible Nutzerdaten betroffen sind, ist bisher unklar.

Zugegeben: Ich konnte mir das Lachen nicht verkneifen und es flossen kleine Tränen über meine Wangen, die den Anschein erwecken konnten, mein böses Inneres würde sich in Schadenfreude wälzen, als ich über eine Suchanfrage bei Google, per Zufall auf einen „Zombie-Server“ bei den Grünen stolperte. Eigentlich lache ich in einem solchen Fall nicht, weil es überall und zu jeder Zeit passieren kann, dass man einem Hackerangriff zum Opfer wird. Absoluter Schutz ist nirgendwo gegeben. Wer aber meine – nennen wir es – Differenz zu dieser Partei kennt, kann vielleicht verstehen, dass meine Emotionen in dem Moment entgleisen konnten.

Die Grünen – Sicherheitslücken und Meldepflichten

Mit ein Grund, warum ich über den gehackten Server der Grünen lachen konnte, war meine Erinnerung an diverse Reden der Partei. Man forderte, dass die Regierung in Sachen IT-Sicherheit mehr investiert und Gesetze erarbeitet werden, die Anbieter zu mehr Sicherheit verpflichten. Ein Auszug aus der Website:

Als digitale Gesellschaft müssen wir dem Grundrechtsschutz, der Erhöhung der IT-Sicherheit und der Stärkung digitaler Infrastrukturen endlich höchste politische Priorität einräumen. Das fordert die Grüne Bundestagsfraktion seit langem – wir haben wiederholt Vorschläge zur Erhöhung der IT-Sicherheit in den Bundestag eingebracht. Datenschutz und Datensicherheit sind für den Grundrechtsschutz im Digitalen von zentraler Bedeutung.

Die Bundesregierung hat die notwendigen Weichenstellungen zum Schutz von Bürgern und Demokratie bislang verschlafen. Ohne Zweifel müssen alle Bürgerinnen und Bürger, aber auch Abgeordnete und Journalisten eine hohe Eigenverantwortung für den Schutz ihrer Daten und Kommunikation wahrnehmen. Hierfür müssen beste Sicherheitseinstellungen zum Standard bei allen Anbietern werden. Notwendigenfalls braucht es dafür klare Vorgaben von Seiten der Politik gegenüber den Unternehmen.

Quelle: https://www.gruene-bundestag.de/themen/netzpolitik/ein-warnschuss-fuer-die-it-sicherheit

Ja, liebe Grünen. Wenn man sich schon in den Bundestag stellt und dort höchste politische Priorität in Bezug auf die Erhöhung der IT-Sicherheit fordert, dabei auch Forderungen stellt, die das Melden von Sicherheitslücken und Hackerangriffen betreffen, sollte man vielleicht zuerst in den eigenen Systemen „kehren“. Alleine aufgrund der Tatsache, dass man bei den Grünen nicht einmal einen derart ausgeprägten Hack oder gar gekaperten Server bemerkt, zeigt eigentlich nur, dass man dort offenbar keine Ahnung hat, wovon man da eigentlich redet oder besser gesagt, was man da fordert.

Und das ist es auch, was mich bereits seit vielen Jahren, bezüglich unserer Regierung ärgert. Es wird über IT-Sicherheit schwadroniert, man möchte irgendwelche neuen Gesetze und Pflichten schaffen und redet über „Digitalisierung“ als wichtiges Ziel dieses Landes, hat aber in Sachen Kompetenz nicht wirklich viel vorzuweisen. So hat man selbst – von mir dort gemeldete – hochgradig gefährliche Sicherheitslücken auf Systemen der Regierung, über lange Zeit ignoriert. Die CDU hat es damals beispielsweise auch herzlich wenig interessiert. Selbst die 40+ kritischen Sicherheitslücken auf Systemen der EU-Regierung, waren kein Anlass, schnell auf meine Hinweise zu reagieren. Erst als sich Medien einschalteten und ich den Skandal öffentlich machte, reagierte man dann doch noch.

DIE GRÜNEN gehackt – Video

Wie bereits erwähnt, kann es überall zu Angriffen kommen und im Grunde ist kein System absolut sicher. Einen gehackten Server, der kompromittiert wurde und auf mehreren Subdomains als Spamschleuder fungiert, sollte allerdings relativ schnell auffallen. Immerhin sind die kompromittierten Seiten sogar bei Google gelistet und quasi für die Grünen im „Ranking“. Die Abfrage im Google-Cache dürfte auch für sich sprechen. Die von mir dort abgerufenen Seiten sind bereits zum Jahreswechsel kompromittiert gewesen. Man kann also davon ausgehen, dass das System schon seit längerer Zeit missbraucht wird.

Server der Grünen gehackt – Umfang bisher unklar

Ob neben dem kompromittierten Server unter cdn.gruene.de noch weitere Systeme der Grünen betroffen sind oder ob sogar sensible Daten dort gespeichert waren und vom Angreifer abgerufen werden konnten, ist unklar. Es scheint jedoch interessante eBooks dort zu geben. Ob sich hinter dem Downloadlink auf der Seite der Grünen, aber tatsächlich ein eBook mit Pornos verbirgt, weiß ich nicht, da ich mir das nicht genauer angesehen habe. Denn wenn ich an die Grünen denke, denke ich an Toni Hofreiter oder auch Claudia Roth. Und da vergeht mir ohnehin jeglicher Gedanke an Pornos. Wie erwähnt, weiß ich nicht was alles dort betroffen ist und ob vielleicht sogar sensible Daten betroffen waren. Im Normalfall schaue ich mir das bei solchen Fällen genauer an, aber das ist mir bei den Grünen dann doch auch irgendwie zu blöd und meine Zeit dafür zu schade.

Ich habe meine Erkenntnisse bisher nicht gemeldet und werde mich in diesem Fall auch nicht dazu bereit erklären, in irgendeiner Art und Weise Hilfe anzubieten. In all den Jahren habe ich grundsätzlich immer Diskretion bewahrt und Betreiber unverzüglich über Probleme informiert, sowie meine (freiwillige) Hilfe angeboten. Bei den Grünen schließe ich das jedoch aus. Der Grund dafür ist recht einfach: Ich helfe niemandem, der mich persönlich angreift oder mit Nazi-Methoden öffentlich denunziert.

Aber nachdem das Ding ohnehin schon (offensichtlich) seit Monaten kompromittiert ist, können die das auch über das „Netz“ erfahren. Da kommt es dann auf ein paar Tage auch nicht mehr an.

Update 28.02.2020: Ich habe zwischenzeitlich doch noch eine Sicherheitswarnung an DIE GRÜNEN geschickt. Immerhin könnte es auch ein Sicherheitsrisiko für deren Besucher darstellen, welches ich nicht in Kauf nehmen möchte. Wer mich kennt und meine Arbeit der letzten Jahre verfolgt hat, dürfte wissen, dass das für mich grundsätzlich höchste Priorität hat. Eine Kopie der Nachricht, wurde sicherheitshalber auch an das BSI geleitet. Dort dürfte man mich vielleicht noch von anderen Fällen – vor ein paar Jahren – noch kennen und die Information schneller zur Kenntnis nehmen.

Update 03.03.2020 17:16 Uhr: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor wenigen Minuten – per E-Mail – den Eingang meiner Sicherheitswarnung bestätigt. Man teilte mir mit, dass man das „NB-CERT / Netzbegrünung e.V.“ über den Umstand informierte. Die Stelle bestätigte die Mitteilung und teilte mit, dass man sich um die Sachlage kümmern möchte. Zur Zeit ist der Webauftritt (cdn.gruene.de) deaktiviert.

Kommentare (2)

  1. Avatar
    Thomas Künstler

    Sehr geehrter Herr Frenzel,

    vielen Dank für den Hinweis auf Ihrem Blog.

    Zum Sachverhalt: Die Sub-Domain cdn.gruene.de wurde in 2019 verwendet, um einen externen Cloud-Bildbearbeitungsdienst in das Backend unserer Webseite zu integrieren. Ende 2019 wurde eine andere Lösung gewählt, um die Bildbearbeitung sicherzustellen und der externe Dienst gekündigt. Nicht gelöscht wurde jedoch die Sub-Domain, was hätte passieren müssen.

    Am 27.02.2020 erfolgte nun eine von uns nicht veranlasste Änderung des A-Zonen-Eintrags auf die IP-Adresse unter der die von Ihnen im Beitrag angesprochenen Inhalte zu finden waren. Hier sind wir in weiterer Klärung des Sachverhalts, wie diese Änderung geschehen konnte.

    Die Sub-Domain ist nun gelöscht. Dazu hoffen wir, dass Google die Suchergebnisse genau so schnell wieder aus dem Index nimmt, wie sie hineingekommen sind.

    Mit freundlichen Grüßen

    Thomas Künstler
    Bundesgeschäftsstelle BÜNDNIS 90/DIE GRÜNEN

    10. März 2020 um 09:55
    |Antworten
    1. Heiko Frenzel

      Hinweis an die Leser: Der Kommentar wurde vor Freischaltung auf Echtheit geprüft und von Herrn Künstler (Referent für Beteiligung und Digitales) per E-Mail bestätigt.

      Nochmals vielen Dank für den Kommentar. Es freut mich, dass man auf meine Sicherheitswarnung reagiert hat. Das BSI hat mich zwischenzeitlich ja bereits darüber informiert, dass im NB-CERT mein Blogeintrag wahrgenommen wurde und Anlass war, die Sache genauer anzusehen.

      Was ich nicht ganz nachvollziehen kann, ist Ihre Aussage bezüglich der DNS-Manipulation für die Domain. Diese soll ja am 27.02.2020 erfolgt sein. Können Sie sicherstellen, dass zuvor keinerlei Manipulation an den DNS-Einstellungen vorlag? Dann ist nämlich ein Befall des eigenen Servers ebenso wahrscheinlich. Denn – wie man auch am Titelbild dieses Posts erkennen kann – sind die kompromittierten Inhalte bereits mindestens seit dem 02.01.2020 in ihrer Form vorhanden gewesen. Anders wären sie niemals so im Cache der Google-Suchmaschine gelandet.

      Da stellen sich mir dann – ganz besonders bezüglich Ihrer Information über die Integration in das Backend der Website – weitere Fragen. Insbesondere, ob es möglich wäre, dass bereits während der Integration des betroffenen Servers, eine Kompromittierung stattgefunden haben könnte? Ist es vielleicht sogar denkbar, dass eine Schwachstelle an dem betroffenen Server und die Integration in das Backend der Website, eventuell auch dazu geführt hat, dass Rechner der Administratoren/Moderatoren der Website kompromittiert oder ausgespäht wurden? Dies würde vielleicht eine Manipulation am DNS-Eintrag erklären, da ich mir nicht vorstellen kann, dass dies so einfach ohne legitime Zugangsdaten möglich wäre.

      Und noch eine Frage von erheblichem Interesse:
      Kann ausgeschlossen werden, dass Besucher der Website oder Nutzer der Dienste der Partei (Newsletter, Mitgliederbereich, Shop oder ähnliche Bereiche) oder deren Daten von der Kompromittierung betroffen waren?

      Ich würde mich freuen, wenn Sie hierzu Stellung beziehen könnten.

      Freundliche Grüße

      Nachtrag:
      Sollte es tatsächlich zu Übergriffen auf Besucher/Nutzer gekommen sein, stelle ich mich auch für Analysen und Recherchen bezüglich der Aufklärung zur Verfügung.

      11. März 2020 um 11:45
      |Antworten

Was denken Sie darüber?

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert