CSU Hack birgt 800+ Zugangsdaten – Bayerische Regierung stopft historische Sicherheitslücken

Es kommt ja nicht selten vor, dass ich auf Sicherheitslücken stoße, diese melde und damit für etwas mehr Sicherheit sorge. Ob das nun kleine Internetseiten, irgendwelche Portale, große Unternehmen und Konzerne, Banken, Regierungen oder Militärs sind, spielt dabei weniger eine Rolle. Es macht halt Spaß, wenn man helfen kann. Und ja, man fühlt sich auch irgendwie „verpflichtet“, wenn man als „Hacker“ durchs Netz streift und dabei auf Schwachstellen stößt. In diesem Fall war jedoch meine Vorgehensweise anders als sonst. Und das hatte auch einen guten Grund. Nach Art und Umfang der Schwachstellen, dürfte das der vermutlich größte und gefährlichste „Regierungs-Hack“ in der Geschichte des Landes gewesen sein. Ich habe ja bereits viele Dinge gesehen und schon Schwachstellen erlebt, bei denen man sich nur noch an den Kopf fassen konnte. Aber selbst ich bekam in diesem Fall Gänsehaut.

Da dieses Thema brisant ist und die Art der Aufdeckung von Schwachstellen bekanntlich eine „Grauzone“, möchte ich meinen Lesern – insbesondere denen, die sich mit (Ethical-) „Hacking“ beschäftigen – folgenden Rat ans Herz legen:

Bitte macht sowas auf gar keinen Fall einfach so nach! Zumindest nicht dann, wenn ihr – insbesondere bei Behörden – noch recht unbekannt seid und man dort nicht weiß, dass ihr es gut meint. Es kann euch sonst den Kopf kosten, egal ob ihr gute Absichten habt oder nicht. Durch meine ehrenamtliche Unterstützung der vergangenen 15 Jahre, kennt man meine Beweggründe und kann derartige Aktionen besser einschätzen. Darum darf ich mich in manchen Situationen dann auch ein klein wenig mehr aus dem Fenster lehnen. Wenn ihr per Zufall Schwachstellen findet, meldet diese einfach direkt. Aber macht keine „tiefergehenden“ Alleingänge oder bohrt tiefer, ohne direkte Rücksprache. Das kann nämlich sehr gefährlich und teuer werden.

Hackerangriffe auf Regierungen nehmen stark zu – Medien berichten von Angriffswellen

Wie man in den letzten Monaten immer wieder gängigen Medien entnehmen konnte und kann, kommt es in letzter Zeit vermehrt zu massiven Angriffen auf Präsenzen der Regierung und Portale von Behörden. Da ich immer wieder von solchen Fällen lese, die Veröffentlichungen der Behörden verfolge und auch durch Kontakte in gewisse Bereiche, immer wieder über ähnliche Vorfälle Kenntnis erlange, habe ich schon eine Weile ein Auge bestimmte Systeme. Immerhin wäre auch ich persönlich – in Zeiten des Digitalisierungs-Wahn – von möglichen Schwachstellen in Regierungssystemen betroffen. Ein Twitter-Post von Ermittlungsbehörden war dann vor wenigen Monaten der Anlass dafür, mich etwas genauer um die Sicherheit verschiedener Regierungssysteme zu sorgen. Genauer gesagt, ging es bei der Veröffentlichung um eine Hacker-Gruppe, die offenbar gezielt Infrastrukturen von Parteien angriff und damit sogar teilweise für die temporäre Abschaltung der Systeme sorgte. Ich dachte mir, ich schau mich mal spontan um und versuche schneller zu sein, als die „Jungs“ auf der „dunklen Seite der Macht“. Denn dann kann man Lücken schließen, bevor sie von böswilligen Angreifern ausgenutzt werden. Und ja, ich war erfolgreich. Sehr sogar…

Massenweise Sicherheitslücken bei Parteien und Regierungen aufgedeckt und gemeldet

Ich glaube es hat nicht einmal 5 Minuten gedauert, bis ich auf die erste kritische Schwachstelle gestoßen bin. Und fast im Minutentakt sprangen mir neue „Problemstellen“ ins Auge. Ich fing also an, mir die Fundstücke zu notieren, um sie anschließend melden zu können. Um ehrlich zu sein: Die Liste ist sehr lang und es betrifft einige Betreiber. Allerdings möchte ich in diesem Artikel (noch) nicht über alle betroffenen Systeme berichten. Hauptsächlich aus Sicherheitsgründen, da ein großer Teil der Schwachstellen auf dieser Liste noch nicht behoben wurde und ich mir den Schuh nun nicht anziehen werde (ihr wisst ja).

Ansprechen möchte ich aber – wie man dem Titel entnehmen kann – die Sicherheitsproblematik bei der Bayerischen CSU. Genauer gesagt, dem CSU-Landtag. Denn im Fall der CSU habe ich die absolute „Worst-Case-Situation“ erlebt, bei der mit Sicherheit jeder Admin da draußen – alleine vom Lesen des Artikels – Schweißperlen auf seiner Stirn bekommen wird. Bei der CSU kam in etwa alles zusammen, was man tunlichst vermeiden sollte. Und um ehrlich zu sein, möchte ich mit diesem Artikel auch ein wenig auf das Thema „Digitalisierung“ eingehen und aufzeigen, warum ich bei einer Wahlwerbung ala Söder’s „High-Tech Agenda“ so richtige Bauchschmerzen bekomme. Eigentlich ist es schon fast Brechreiz, aber so genau muss es dann auch nicht sein.

High-Tech Söder mit historischen Sicherheitslücken bei seiner Partei

Da man ja in Bayern aktuell wieder fleißig die Trommel für nicht einhaltbare Wahlversprechen wirbelt und der Herr Söder ganz vorne mit dabei ist, mit seinem „High-Tech Standort“ Bayern, fühle ich mich ja schon fast gezwungen, das Thema CSU und deren Sicherheitslücken ausführlichst zu veröffentlichen. Und wer sich an der Stelle fragt, warum ich von „historischen Sicherheitslücken“ spreche, dem kann ich folgende Antwort geben: Weil ich bisher von keinem Fall gehört habe, bei dem Sicherheitslücken oder gar ein Hack, dermaßen umfangreich und gravierend war. Selbst der „Regierungs-Hack“ vor wenigen Jahren, war harmlos dagegen, weil dort keine sensiblen Bereiche erreicht wurden. Bei der CSU war das ein ganz anderes Thema.

XSS, SQL Injection, File Inclusion und… WTF?!

Neben zahlreichen Möglichkeiten für Cross-Site-Scripting (XSS) und damit einem nahezu unbegrenzten Budget an eingeschleustem Script, welches man wunderbar hätte nutzen können, um indirekte Angriffe zu starten oder anderes Schindluder zu treiben, gab es auch noch weitere „Schmankerl“ im bayerischen CSU-Landtag. Ich meine, im Grunde hätte ja das bereits reichen können, um unentdeckt im Hintergrund die ganze Kiste zu kapern. Allerdings muss man nicht den mühsamen Weg gehen, wenn es auch noch weitere Einfallstore gibt.

Da wäre zum Beispiel die SQL-Injection Schwachstelle gewesen, welche vorsorglich validiert wurde (keine Sorge, gab Rücksprache). Da musste ich zum ersten Mal schlucken, denn der Umfang war nicht von schlechten Eltern. Für alle Leser, die nicht wirklich etwas mit dem Begriff anfangen können, eine grobe Erklärung: Bei einer SQL-Injection werden die an den Webserver gesendeten Parameter manipuliert, um Abfragen der Datenbank zu manipulieren oder ggf. sogar auf das Dateisystem zuzugreifen. Das heißt, über eine SQL-Injection Schwachstelle bei der CSU, war es möglich, auf sämtliche Inhalte der angebundenen Datenbank zuzugreifen. Wenigstens hatte der User keine „File-Rechte“. Die wären aber auch nicht notwendig gewesen, denn es gab ja noch mehr Goldstücke bei der CSU.

Sicherheitslücke beim CSU-Landtag – Rund 300 (!) Zugangsdaten von Abgeordneten, Mitarbeitern, …

Um das Thema SQL-Injection und Datenbank zunächst abschließen zu können, noch ein wenig „Randnotiz“. Innerhalb der Datenbank waren nämlich knapp 300 (!) Zugangsdaten von Abgeordneten und allen anderen Personen, welche für das angebundene Intranet des CSU-Landtags vorgesehen waren. Um die Frage direkt zu beantworten: Ja, es waren lediglich „md5-gehashte“ Passwörter. Und ja, die Leute sind dort nicht sonderlich kreativ was ihre Passwörter betrifft.

Damit auch die Normalos da draußen verstehen, was das nun heißt: Die meisten Abgeordneten der CSU, nutzen für das Intranet ihrer Partei – also einem eigentlich recht sensiblen Bereich – so Passwörter wie „andi2020“. Und diese Passwörter sind unverschlüsselt (lediglich als Hash) in der Datenbank hinterlegt. Das heißt, ein böswilliger Hacker, würde sich mit solch einer Beute sicherlich die Hände reiben. Denn wie wir alle wissen, nutzen die Leute meist das gleiche Passwort an verschiedenen Stellen. Natürlich kommt es nicht selten vor, dass Menschen recht einfache Passwörter nutzen. Allerdings möchte ich an der Stelle betonen, dass das Abgeordnete sind, die sich in einer Partei beschäftigen, welche sich gerade so Begriffe wie „High-Tech Agenda“, „IT-Innovationen“ und „Technik Standort“ auf die Wahlplakate schreibt. Das ist ein Fakt, der mir Kopfschmerzen bereitet.

Und ich kann so viel verraten: Der liebe Herr Söder, der sich in letzter Zeit mit KI-Technik und High-Tech beschäftigt, seinen Wählern irgendwas von IT-Forschung und einschlägigen super-mega-töfte High-Tech XYZ Dingen vorschwurbelt und dabei so tut, als wüsste er worüber er da spricht, ist auch nicht besser. Sein Passwort ist 8 Zeichen lang und auch nicht sonderlich kreativ. Und ja, in dem Fall bekomme ich den ersten, hartnäckigen Würgereiz, bezogen auf das Schwadronieren von Herrn Söder. Vielleicht liest man auch ein wenig heraus, dass mich das Thema ein wenig sauer macht. Ich meine, bei der Digitalisierung sind ja nur über 80 Millionen Menschen und deren sensible Daten betroffen… Aber gut… Weiter…

Wenn du denkst es geht nicht mehr schlimmer, kommt es erst so richtig!

Nun machen wir einen kurzen Zwischenstand. Wir haben also Schwachstellen die das Einschleusen von Code ermöglichen, was im Grunde schon reichen würde, um das System über Umwege zu kapern oder vielleicht auch sämtliche Besucher mit Malware zu versorgen. Dazu haben wir dann Sicherheitslücken, die das Auslesen der Datenbank ermöglichen, was dann zu rund 300 Zugangsdaten der Abgeordneten usw. führt. Die meisten Passwörter sind in etwa so sicher, wie ein 50 Cent Vorhängeschloss von „TEDi“ an einem Hummer. Und… Selbst der liebe Herr „High-Tech Söder“ hat beim Thema Passwort in etwa so viel Kompetenz, wie ein Veganer in der Fleischerei. Was könnte das noch toppen? Hmmm… Ja, wer aufmerksam mitgelesen hat, der dürfte es ahnen. Da war ja noch eine Sicherheitslücke, die eine File-Inclusion bzw. den Download beliebiger Dateien vom Server ermöglichte. Auch diese durfte von mir – eh schon fassungslos da sitzend – validiert werden. Und da kam etwas zum Vorschein, was selbst mich für einen Moment zum Stillstand brachte.

Worst-Case: Etwa 500 weitere Zugangsdaten der Abgeordneten, zu Datenbanken, E-Mail-Konten, Newsletter-Systemen und mehr

Ich konnte ehrlich gesagt nicht fassen, was ich da gesehen hatte. Und ich kann beim besten Willen nicht verstehen, wie unfassbar fahrlässig ein Entwickler sein muss, dass er praktische eine „Atombombe“ mitten in das öffentliche Verzeichnis auf dem Server legt. Eine Konfigurationsdatei mit einer scheinbar endlosen Liste sämtlicher Zugangsdaten. Um den Ernst der Sache besser verstehen zu können: Für einen erfolgreichen Angreifer wäre das der ultimative Generalschlüssel gewesen.

Sämtliche Webseiten der Abgeordneten, samt zugehörigen Zugangsdaten zur Datenbank, sowie zur Verwaltung der E-Mail-Konten des jeweiligen Abgeordneten und teilweise sogar FTP-Zugänge. Ein Angreifer hätte praktisch die komplette Kontrolle erlangen können und ein bösartiger Hackerangriff wäre wahrscheinlich das „Hiroshima“ unter den Regierungs-Hacks gewesen. Darum… Genau darum, spreche ich von historischen Sicherheitslücken bei der CSU.

Und um nochmal auf meine Bauchschmerzen zurück zu kommen, die entstehen, wenn Politiker – insbesondere so proletarische Hochstapler wie Markus Söder – von Digitalisierung sprechen… Das ist der Grund, warum mir das enorme Sorgen bereitet. Man stelle sich vor, sämtliche Behörden sind „digitalisiert“ und horten sensible Daten auf den Systemen. Dazu dann noch so töfte Dinge wie Patientendaten und anderer Kram, auf Servern der „digitalisierten“ Kassen und anderen Unternehmen. Wenn man da mit gleicher „Vorsicht“ und Vernunft handelt – wovon ich schwer ausgehe – dürfte es nicht allzu lange dauern, bis der große Knall kommt.

Ein Alptraum mit „Happy End“?

Man fragt sich nun vielleicht, wie man bei der CSU auf den Fund reagiert hat. Und ja, das ist ein berechtigte Frage. Denn wer meine Artikel verfolgt und auch früher schon über meine Aufdeckungen gelesen hat, dürfte wissen, dass es gerade bei Parteien und Systemen der Regierung, oftmals Probleme beim Melden von Sicherheitslücken gibt. Beispielsweise die CDU, die bis heute kein Lebenszeichen gab, nachdem ich vor Jahren dort Schwachstellen meldete. Oder auch die EU-Kommission mit Anhang, welche erst durch Druck der Medien, auf meine Meldung über 40 Sicherheitslücken reagierte. Es ist oft kompliziert und man ignoriert Meldungen von außen.

Ich entschied mich also in dem Fall, einen Umweg zu gehen. Gerade weil es schnell gehen musste und mir auch das Risiko zu hoch war, falsch wahrgenommen zu werden. Ihr wisst ja wie das ist: Hacker sind grundsätzlich böse Menschen, die mit Sturmmaske am Rechner sitzen und Passwörter aus dem Bildschirm klauen. Nein, der Weg war mir da zu mühselig. Statt den üblichen Weg zu gehen, kontaktierte ich einen – mir über Dritte – bekannten Abgeordneten der CSU. Es schien mir der optimale Weg zu sein, persönlichen Kontakt zu suchen und die Problematik indirekt zu berichten, da man die Sache vermutlich eher ernst nehmen würde. Und ich muss wirklich sagen, dass es für die Sorte Sicherheitsproblem, die optimale Lösung war.

Nur um das gesagt (geschrieben) zu haben: Mein Artikel hier ist kein Hate gegen die CSU und soll auch nicht herabwürdigend gegenüber der Abgeordneten sein. Lediglich Markus Söder darf sich die Kritik zu Herzen nehmen, weil er in meinen Augen schlichtweg ein… Hach ja… Lassen wir das. *Hust*. Nun… Dass man dort bescheidene Passwörter nutzt, liegt an der schlechten und offenbar inkompetenten Führung, sowie an den Zuständigen in der IT, die eigentlich ja das Personal schulen sollten. Auch bei der CSU sitzen zum Teil wirklich hervorragende Politiker und „gute Menschen“. Der Kontakt mit meinem Sprachrohr war sehr schnell hergestellt, der Gesprächspartner sehr interessiert und kompetent. Da war es auch kein Problem, sich zu später Stunde am Wochenende ausreichend Zeit zu nehmen, um die Angelegenheit im Detail zu besprechen. Ja, da könnten sich andere Leute eine große Scheibe abschneiden.

Ausführlicher Report an die Betreiber und an die Entwickler

Da man so nett und kompetent auf meine Kontaktaufnahme reagiert hatte, entschied ich mich, es nicht beim lediglichen Übersenden der notwendigen Informationen zu belassen, sondern einen detaillierten Report zu verfassen und ihn dann an meinen Ansprechpartner bei der CSU zu senden. Die Entwickler saßen natürlich schon „auf Kohlen“ und haben – so wie ich es mitbekommen habe – dann auch sehr schnell reagiert. Die von mir übermittelten Schwachstellen wurden – soweit ich es nachprüfen konnte – geschlossen und die größte Gefahr damit beseitigt. Ich hatte in meinem Report auch diverse Empfehlungen gegeben, welche man dann auch noch durchführen wollte. Insbesondere was die Richtlinien für Passwörter betraf. Zudem hatte ich darum gebeten, dass man alle Passwörter erneuert. Wie immer: „Better safe than sorry.“

Unterm Strich wurde die Sache dann also doch noch entspannt geregelt und die Gefahr beseitigt. An der Stelle möchte ich auch den beiden Hauptpersonen – welche meine direkten Ansprechpartner waren – danken. Für die schnelle Reaktion und für die netten Worte. Mich freut es sehr, dass ich den wahrscheinlichen „Super-GAU“ verhindern konnte. Anmerken möchte ich für den Leser jedoch noch, dass es aus der „Führungs-Ebene“ keine Reaktion und auch keinen Dank in irgendeiner Form gab. Für einen „High-Tech“ Minister ein Armutszeichen. Aber okay…

Wie immer bei „unbeauftragten Fundstücken“, waren auch in diesem Fall meine Leistungen „for free“. Ganz treu nach meinem Kodex, bei dem es in 15 Jahren keine einzige Ausnahme gab. Mir geht es um Sicherheit und Hilfestellung, nicht um schnelles Geld.

Wer keinen Artikel verpassen möchte, sollte sich für meinen Newsletter anmelden.

Cheers!