2206849

Panama Papers: So unsicher war Mossack Fonseca

08.07.2016 | 09:11 Uhr |

Unbekannte stahlen 2,6 Terabyte hochbrisanter Daten aus einer Kanzlei, die sogenannten Panama Papers. Der Experte Eddy Willems erklärt, wie die Angreifer vermutlich an die Daten kommen konnten.

Im April dieses Jahres veröffentlichten die Süddeutsche Zeitung sowie mehrere internationale Medien eine Reihe von Artikeln über die Kunden der Kanzlei Mossack Fonseca sowie deren Finanzkonstrukte in Steueroasen . Die zugrunde liegenden Daten wurden Panama Papers genannt. Diese Unterlagen zeigen, wie sowohl einflussreiche Politiker und Industriekapitäne als auch einige Spitzensportler über Offshore-Unternehmen in großem Maßstab Steuervermeidung betrieben haben. Bei besagten Dokumenten handelt es sich um rund 11,5 Millionen E-Mails, Briefe, Faxnachrichten, Gründungsurkunden, Kreditverträge, Rechnungen und Bankauszüge als PDF-, Text-und Bilddateien aus den Jahren 1977 bis 2016. Die Dokumente wurden der Süddeutschen Zeitung von einem anonymen Whistleblower zugespielt. Wie dieser an die Dokumente kam, ist nicht bekannt. In ähnlichen Fällen von Datenpreisgabe über einen Whistleblower stammen die Dateien meistens von einem Insider, etwa einem Mitarbeiter der Firma. Bei den Panama Papers muss es nicht unbedingt ein Insider gewesen sein, denn die IT der Kanzlei Mossack Fonseca wies gravierende Schwachstellen auf. Für einen geübten Hacker wäre es ein Leichtes gewesen, sich von außen Zugriff auf die Daten zu verschaffen. Der Sicherheitsexperte Eddy Willems hat sich angesehen, was andere Experten bereits über die IT der Firma herausgefunden haben. Er ordnet und bewertet die vorhandenen Schwachstellen. Folgende Betrachtungen stammen von Eddy Willems.

Panama Papers: 2,6 TB Daten belegen Geldwäsche und Steuerbetrug

So könnte sich ein Angreifer die Panama Papers geholt haben

Mossack Fonseca ist das juristische Beratungsunternehmen, dem 2,6 Terabyte an Daten entwendet wurden. Das Unternehmen geht selbst davon aus, dass die Daten über einen gehackten Mailserver und einen Angriff auf die Datenbank gestohlen wurden. Es gibt allerdings keine weiteren Details preis.

Glücklicherweise sind jedoch Sicherheitsexperten weltweit bei derartigen Angriffen sehr neugierig und versuchen, möglichst viel darüber in Erfahrung zu bringen. So liegen heute schon mehrere plausible und gut untermauerte Theorien über den Datendiebstahl bei Mossack Fonseca vor. Und diese Theorien sind wirklich erschreckend. Ich werde im Folgenden einige Sicherheitsschnitzer durchgehen, wobei ich natürlich nicht sicher sein kann, dass der tatsächliche Modus Operandi mit einer dieser Schwachstellen zu tun hat.

1. Die Website von Mossack Fonseca nutzt das Content Management System Wordpress, wie etwa das Magazin Wired berichtet . Wordpress sowie alle darin enthaltenen Erweiterungen müssen jedoch regelmäßig aktualisiert werden. Denn sehr häufig tauchen darin Sicherheitslücken auf. Das ist ein Umstand, den jeder IT-Arbeiter kennt. Die Wordpress-Version von Mossack Fonseca, die Mitte April noch online war, wurde vier Monate zuvor aktualisiert. Eine Zeitspanne, in der etliche Lücken entdeckt wurden.

2. Die Website von Mossack Fonseca arbeitet mit einem undichten Wordpress-Plug-in: Revolution Slider . Dieses Plug-in wird schon seit 2014 aktiv angegriffen.

3. Der Wordpress-Server lief im selben Netzwerk wie die Datenbank mit allen Kundenakten. Das hatten niederländische Experten berichtet.

4. Die Log-in-Daten des Mailservers von Mossack Fonseca wurden in Klartext in einem anderen Wordpress-Plug-in gespeichert. Ein Angreifer kann sie dadurch leicht auslesen.

5. Es gab ein Kundenportal, in das sich Kunden einloggen konnten. Hierfür wurde allerdings eine unsichere Version des Content-Management-Systems Drupal verwendet. Es soll 25 verschiedene Sicherheitslecks enthalten haben. Die Software soll dabei auf dem Stand von 2013 gewesen sein.

6. Für das Kundenportal wurde das gefährdete SSL-2-Protokoll verwendet.

7. Die Website war für SQL-Injections anfällig. Das belegt zumindest ein Beitrag des Magazins The Register .

8. Der Mailserver von Mossack Fonseca war bereits seit 2009 nicht mehr aktualisiert worden und soll dementsprechend zahllose Sicherheitslücken enthalten haben.

9. E-Mails wurden nicht verschlüsselt.

10. Aufgrund der Merkmale des Datenlecks, etwa der großen Datenmenge, gehen einige Experten davon aus, dass es sich auf jeden Fall um einen „Inside Job“ gehandelt haben muss.

Die ersten Punkte zeigen, dass ein ganz erheblicher Mangel an Informationssicherung und IT-Schutz bei Mossack Fonseca vorlag. Die Daten können also sehr wohl von einem externen Hacker gestohlen worden sein.

Für die letzte Theorie (siehe Punkt 10) gilt dies nicht unbedingt, obwohl es Techniken gibt, die einen „Inside Job“ stark erschweren. So kann beispielsweise der Zugang zu sensiblen Daten nur auf die Personen beschränkt werden, die selbst mit der betreffenden Angelegenheit befasst sind, oder die Anfertigung digitaler Kopien von Daten in der Datenbank kann verhindert werden. Ein sehr motivierter Datendieb kann natürlich noch immer Fotos von seinem Bildschirm machen oder altmodisch Bleistift und Papier zur Hand nehmen, aber das schafft niemand mit 11,5 Millionen Dokumenten, die 2,6 Terabyte an Informationen ausmachen.

Übrigens: Laut dem Informationssicherheitsexperten Dr. Daniel Dresner ist eine schlechte IT-und Informationssicherung in Anwaltskanzleien eher die Regel als die Ausnahme. Und dies, obwohl gerade Anwaltskanzleien über besonders vertrauliche Informationen verfügen. Dabei arbeiten in Anwaltskanzleien in der Regel intelligente Menschen, die überdurchschnittliche Kenntnisse des Gesetzes haben. Sie können sich also kaum hinter der Entschuldigung „Ich wusste nicht, dass wir verpflichtet sind, unsere Kundendaten gründlich zu schützen“ verstecken. Wenn nun der Datenschutz bei Kanzleien bereits so schlecht ist, wie dramatisch müssen dann die Zustände in anderen Betrieben aussehen?

So weit die Betrachtungen des Sicherheitsexperten Eddy Willems.

IT-Sicherheitsstudie: Technik in Firmen ist oft veraltet

Aktuelle Angriffe zeigen: Datenlecks betreffen jeden Nutzer

Leider sind von derart schlecht geschützten Datenservern nicht nur steuervermeidende Politiker betroffen. Die unsicheren Datentanks bei großen und kleinen Firmen betreffen auch ganz normale Internetnutzer.

So bot zum Beispiel im Juni 2016 ein Hacker 32 Millionen Log-in-Daten von Twitter-Nutzern auf dem Schwarzmarkt an. Dafür verlangte er 10 Bitcoins, was rund 6200 Euro entspricht. Das ist ein ziemliches Schnäppchen, zumal die Passwörter im Klartext vorliegen. Twitter behauptet, dass die Daten nicht von seinen Servern stammen. Sie sollen von PC-Viren eingesammelt worden sein. Das ist möglich, scheint jedoch in Anbetracht der großen Menge nicht wahrscheinlich. Twitter-Nutzer sind dieses Jahr jedoch bei Weitem nicht allein, wenn es um die Offenlegung ihrer Passwörter geht. Hacker haben sich darüber hinaus Log-in-Daten aus Linkedin, Myspace, Tumbler und VK.com besorgt. In der Summe kursieren so viele Millionen Anmeldedaten im Netz. Das Sicherheitsunternehmen Ergon Informatik geht von etwa 171 Millionen Log-ins mit Klartextpasswörtern aus.

Eine Auswirkung des Datendiebstahls bei Linkedin hat beispielsweise Mark Zuckerberg zu spüren bekommen. Denn die Passwörter aus der Datenbank von Linkedin waren zwar verschlüsselt, allerdings nur schwach und ungenügend. So lassen sich vor allem kurze Passwörter leicht in Klartext umwandeln. Im Fall von Mark Zuckerberg, dem Chef von Facebook, lautet sein Linkedin-Passwort „dadada“. Das Peinliche daran: Er hat dieses viel zu kurze und simple Passwort nicht für einen Dienst (Linkedin) verwendet, sondern für mehrere. Somit konnte sich der Hacker mit denselben Log-in-Daten auch in die Zuckerberg-Konten bei Twitter und Pinterest einloggen. Was er natürlich gemacht hat. Außerdem wird vermutet, dass die gestohlenen Log-in-Daten von Linkedin aus dem Jahr 2012 stammen. Mark Zuckerberg hätte sein Passwort also einige Jahre lang nicht geändert.

Daten und Log-in-Daten sind auf Internetservern offensichtlich nicht sicher. Die erste Lehre, die sich daraus ableitet, lautet: Nutzen Sie für jeden Dienst ein anderes Passwort. Sollte ein Log-in gestohlen werden, sind zumindest die anderen Konten nicht betroffen.

Sicherheitsexperte Eddy Willems

Autor des Beitrags ist der Belgier Eddy Willems. Er ist im Bereich IT-Sicherheit seit 1989 aktiv. In den vergangenen 20 Jahren war er für Sicherheitsinstitute wie EICAR, dessen Mitbegründer er ist, für verschiedene CERT-Organisationen und die internationale Polizei tätig. In seiner Position als Global Security Officer und Security Evangelist bei den G Data Security Labs bildet Eddy Willems die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er spricht häufig auf internationalen Konferenzen wie Virus Bulletin, EICAR, Info Security, AVAR und RSA.

0 Kommentare zu diesem Artikel
2206849