Politik

Neben den Benutzernamen entdeckte der Hacker nach eigenen Angaben auch die dazugehörigen Passwörten. (Screenshot: BSZ)

03.11.2020

Sicherheitslücken auf CSU-Landtagsserver

Ein IT-Experte konnte auf 800 Zugangsdaten von CSU-Politikern, Mitarbeitern und anderen Nutzern zugreifen

Ein Computersicherheitsexperte hat auf dem Webserver der CSU-Landtagsfraktion im Bayerischen Landtag mehrere offen klaffende Sicherheitslücken entdeckt. Er habe dadurch auf über 800 Zugangsdaten von CSU-Politikern, Mitarbeitern und anderen Nutzern zugreifen können, berichtete der Sicherheitsunternehmer Heiko Frenzel in seinem Blog. Darunter seien rund 300 Zugangsdaten für das Intranet der CSU-Fraktion gewesen.

Die CSU-Fraktion bestätigte auf Anfrage, dass sie auf Sicherheitslücken der Website und des Intranet-Angebots aufmerksam gemacht worden sei. Dieser Vorgang liege mittlerweile vier Monate zurück. Die Sicherheitslücken seien unverzüglich durch den zuständigen externen Dienstleister geschlossen worden.

Frenzel hatte zuvor bei seinem unaufgeforderten Sicherheitscheck unter andrem entdeckt, dass der Webserver nicht gegen das so genannte Cross-Site-Scripting (XSS) geschützt war. In diesem Fall können Angreifer auf dem Server schädliche Skripte einschleusen und auf dem Server zum Laufen bringen. Außerdem konnten der Datenbank ungefilterte Anfragen gestellt werden. Mit dieser sogenannten SQL-Injection kann man beliebige Befehle innerhalb der Datenbank auszuführen. Damit können auch sämtliche Daten ausgelesen werden.

Von Kennwörtern wie "andi2020" Abstand nehmen

Neben den Benutzernamen entdeckte der Hacker nach eigenen Angaben auch die dazugehörigen Passwörter, die mit nur der veralteten Methode MD5 geschützt waren. Diese Verschlüsselungsart kann seit Jahren durch einen herkömmlichen PC geknackt werden. Eine weitere Sicherheitslücke habe ihm erlaubt, beliebige Dateien von dem Server herunterzuladen, berichtete Frenzel. Darunter sei auch eine "Konfigurationsdatei mit einer scheinbar endlosen Liste sämtlicher Zugangsdaten" gewesen. Mit diesen Zugangsdaten hätte man unter anderem die persönlichen Webseiten der Abgeordneten manipulieren können.

Frenzel bestätigte die Angaben der Fraktion, dass die Sicherheitslücken mittlerweile geschlossen worden seien. Der Unternehmer empfahl den CSU-Politikern und anderen betroffenen Anwendern, ihr Passwort zu ändern und von einfach zu erratenden Kennwörtern wie "andi2020" Abstand zu nehmen. (dpa)

Kommentare (0)

Es sind noch keine Kommentare vorhanden!
Die Frage der Woche

Sollen Elektroautos bayernweit kostenlos parken dürfen?

Unser Pro und Contra jede Woche neu
Diskutieren Sie mit!

Die Frage der Woche – Archiv
Vergabeplattform
Vergabeplattform

Staatsanzeiger eServices
die Vergabeplattform für öffentliche
Ausschreibungen und Aufträge Ausschreiber Bewerber

Jahresbeilage 2023

Nächster Erscheinungstermin:
29. November 2024

Weitere Infos unter Tel. 089 / 29 01 42 54 /56
oder
per Mail an anzeigen@bsz.de

Download der aktuellen Ausgabe vom 24.11.2023 (PDF, 19 MB)

E-Paper
Unser Bayern

Die kunst- und kulturhistorische Beilage der Bayerischen Staatszeitung

Abo Anmeldung

Benutzername

Kennwort

Bei Problemen: Tel. 089 – 290142-59 und -69 oder vertrieb@bsz.de.

Abo Anmeldung

Benutzername

Kennwort

Bei Problemen: Tel. 089 – 290142-59 und -69 oder vertrieb@bsz.de.