Das deutsche Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) machte unlängst negative Schlagzeilen. Zwei Leser des IT-Fachmagazins „heise“ fanden Schwachstellen im Webauftritt der Behörde. Die BAFA reagierte unter den gegebenen Umständen vorbildlich – ihr Beispiel ist trotzdem eine Warnung an alle, die eine Website betreiben: Ein Website Check durch Fachleute sollte stattfinden, bevor die ersten Lücken auftauchen.
Zwei Cross-Site-Scripting-Lücken in der BAFA-Website
Die beiden Leser fanden innerhalb weniger Stunden zwei Cross-Site-Scripting-Lücken (XSS) im Webauftritt der Behörde. Laut „heise“ sind weitere Schwachstellen aufgrund der Art der Sicherheitsprobleme wahrscheinlich. Die Angriffe waren reflektiert, nicht persistent. Das bedeutet:
- Schadcode wird nicht auf dem Server eingespeist, der die BAFA-Seite hostet.
- Stattdessen läuft er in einer lokalen Kopie der Webpräsenz.
- Im konkreten Fall wurden Alert-Boxen gegen den Schadcode ausgetauscht.
- Angreifer können eigenen Content so darstellen, als gehöre er zur BAFA-Website.
- Via Phishing-Mails lassen sich Opfer auf selbst erstellte Formulare locken – und ihre Daten stehlen.
BAFA-Reaktion: Website Check durch BSI
Die „heise Security“-Redaktion berichtet, dass die Behörde schnell und angemessen reagierte. Das Amt erklärte, es nehme Sicherheitsmängel sehr ernst – besonders wenn es um die Integrität potenziell sensibler Daten der Bürgerinnen und Bürger gehe. Deshalb habe man das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen.
Das BSI sollte einen umfangreichen Website Check durchführen, um alle Schwachstellen zu finden und zu beseitigen. Die gemeldeten Fehler beseitigte die BAFA-IT innerhalb von Stunden. Die Kommunikation mit den Mitarbeitenden verlief freundlich und unkompliziert. „heise“ zieht deshalb insgesamt ein positives Bild – sieht aber noch Spielraum nach oben.
BAFA als Warnung: Website Check so früh wie möglich
Dieser Spielraum betrifft laut „heise“ vor allem den Grundschutz: Staatliche Internetpräsenzen sollten von vornherein so gut wie möglich abgesichert sein. Das Beispiel gilt als Warnung für jeden, der eine Website betreibt: Sicherheitsexperten sollten so früh wie möglich einen Website Check nach dem Launch durchführen – und ihn in regelmässigen Abständen wiederholen, um neu entstehende Lücken frühzeitig zu schliessen.
Dafür brauchst du keine Kontakte zu Behörden wie dem BSI. Viele Spezialisten der Branche bieten einen professionellen Website Check an. Oft lässt er sich mit anderen Leistungen kombinieren – etwa mit Suchmaschinenoptimierung oder einer Performance-Verbesserung.