Panama Papers: Katastrophale IT-Sicherheit bei Mossack Fonseca

Panama Papers
Katastrophale IT-Sicherheit bei Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist wohl nicht nur das Steuerrecht herzlich egal, sondern auch die IT-Security. Jedenfalls machte es das Unternehmen potenziellen Angreifern offenbar sehr leicht.

BerlinDas Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt – und könnte so zum massenhafte Abfluss der Dokumente über Briefkastenfirmen beigetragen haben. Darüber berichtet das Magazin Wired auf seiner Website.

Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten.

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden „geschäftliche Informationen überall und allerorten“ einsehen können.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, mit dem eigentlich verschlüsselte Verbindungen geknackt werden können. Auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde, zeigt das Beispiel, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Der 2,6 TByte große Datensatz der Panama Papers enthält Informationen über 214.488 Offshore-Firmen. Die Informationen bestehen aus 4,8 Millionen E-Mails, 3 Millionen Datenbank-, 2,1 Millionen PDF- und 320.166 Textdateien.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%