Das deutsche Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) schrieb unlängst negative Schlagzeilen. Zwei Leser des IT-Fachmagazins “heise” fanden Schwachstellen in der Sicherheit des Webauftritts der deutschen Behörde. Diese reagierte unter den gegebenen Umständen zwar vorbildlich. Zugleich ist ihr Beispiel aber auch eine Warnung an alle Betreiber von Internetseiten: Ein Website Check durch Experten sollte passieren, bevor die ersten Sicherheitslücken auftauchen.
Zwei Cross-Site-Scripting-Lücken in der BAFA-Website
Die beiden Leser fanden innerhalb weniger Stunden zwei Cross-Site-Scripting-Lücken (XSS) im Webauftritt der Behörde. Laut “heise” sind weitere Schwachstellen aufgrund der Art der Sicherheitsprobleme wahrscheinlich. Die Angriffe bzw. das Ausnutzen der Lücken waren reflektierte, nicht persistente Attacken. Dies bedeutet:
- Schadcode wird nicht auf dem Server eingespeist, der die BAFA-Seite hostet.
- Stattdessen wird er in einer lokalen Kopie der Webpräsenz ausgeführt.
- Im konkreten Fall wurden Alert-Boxen gegen den Schadcode ausgetauscht.
- Angreifer können so eigenen Content so darstellen, als ob er Teil der BAFA-Website sei.
- Via Pishing-Mails können die Angreifer so Opfer auf selbst erstellte Formulare locken und ihre Daten stehlen.
BAFA-Reaktion: Website Check durch BSI
Die “heise Security”-Redaktion berichtet, dass die Behörde schnell und angemessen reagierte. Das Amt teilte demnach mit, es nehme Sicherheitsmängel sehr ernst. Dies gelte insbesondere, wenn es um die Integrität potenziell sensibler Daten der Bürgerinnen und Bürger gehe. Es habe deshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen.
Dieses werde einen umfangreichen Website Check erstellen, um alle Schwachstellen zu finden und zu beseitigen. Das Magazin schildert weiter, dass die BAFA-IT die gemeldeten Fehler innerhalb von Stunden beseitigte. Dabei sei Kommunikation mit den Mitarbeitern freundlich und unkompliziert gewesen. Man ziehe deshalb insgesamt ein positives Fazit, aber es gebe trotzdem noch Luft nach oben.
BAFA als Warnung: Website Check so früh wie möglich
Die “Luft nach oben” bezieht sich im Urteil von “heise” speziell darauf, dass staatliche Internetpräsenzen von vorneherein so gut wie möglich geschützt sein sollten. Hier dient das Beispiel als Warnung für jeden Betreiber einer Präsenz im Netz: Sicherheitsexperten sollten so schnell wie möglich einen Website Check nach Erstellung der Seite vornehmen. Idealerweise wiederholen sie diesen in regelmässigen Abständen, um das spätere Auftreten neuer Lücken zu verhindern.
Hierzu ist es nicht notwendig, Kontakte zu Behörden wie dem BSI zu haben. Viele Spezialisten der Branche bieten einen professionellen Website Check. Oft können die Betreiber der Internetpräsenz ihn im Zusammenspiel mit anderen Angeboten buchen, wie z.B. der Suchmaschinenoptimierung oder einer Performance-Verbesserung.