Neben Informationen und Neuigkeiten zur DSGVO möchten wir Ihnen auch technische Informationen geben, damit das Thema Datenschutz für Sie besser nachvollziehbar ist. Wie die DSGVO in Artikel 32 fordert, muss jede Datenverarbeitung am Stand der Technik vorgenommen werden. Warum das so wichtig ist, möchten wir Ihnen am Beispiel der Panama Papers von 2016 demonstrieren.
Vorgeschichte
Unter dem Begriff Panama Papers versteht man eine Vielzahl an vertraulichen Dokumenten, welche im Jahr 2016 durch investigative Journalisten weltweit veröffentlicht wurden und teils illegale Praktiken zur Steuervermeidung aufzeigten. Im deutschsprachigen Raum waren vor allem die Süddeutsche Zeitung (Deutschland) sowie der Falter (Österreich) treibende Kraft bei der Recherche. Insgesamt wurden ca. 11.5 Millionen Dokumente mit einem Umfang von 2.6 Terabyte (2600 Gigabyte) veröffentlicht.
Die Daten, darunter E-Mails, Dokumente, Handelsregister, etc., wurden größtenteils beim dubiosen Rechtsdienstleistungsunternehmen Mossack Fonseca gestohlen, welches in Folge des Skandals seinen Betrieb einstellte.
Die Dokumente belegten die Gründung von über 200.000 Briefkastenfirmen in diversen Steuerparadiesen der Welt. Diese nutzten diverse Politiker und Spitzenmanager zur Steuervermeidung, Geldwäsche und Umgehung von UN-Sanktionen. Weitere Informationen finden Sie im Wikipedia-Artikel.
Datenbeschaffung
Im Zuge der Veröffentlichungen wurde bekannt, wie der verantwortliche Whistleblower an die brisanten Dokumente gelangen konnte, bevor er diese der süddeutschen Zeitung zur Verfügung stellen konnte.
WordPress
Die Kanzlei Mossack Fonseca nutzte für die firmeneigene Website das beliebte Content-Management-System (CMS) WordPress. WordPress ist der unangefochtene Marktführer bei Homepages. Das System bietet eine robuste Grundstruktur mit wenig Funktionalität. Damit die Homepage stärker individualisiert werden kann, gibt es eine Vielzahl an kostenlosen- und kostenpflichtigen Erweiterungen (Plugins).
Die Kanzlei-Website hatte unter anderem das Plugin “Revolution Slider” installiert, welches es ermöglichte mit wenig Aufwand Slideshows zu erstellen. Allerdings wurde dabei nicht die damals aktuellste Version verwendet sondern eine ca. zwei Jahre alte Version, in welcher eine schwerwiegende und bekannte Sicherheitslücke klaffte. Über diese konnte der Whistleblower einen eigenen Programmcode auf die Website hochladen und ausführen, wodurch er letztlich Vollzugriff auf die WordPress-Website hatte.
Dieser Zugriff alleine wäre nicht sehr brisant gewesen, jedoch wurde der Kanzlei zum Verhängnis, dass diese zwei Plugins für den Newsletter-Versand genutzt wurden, welche die Zugangsdaten zu den E-Mail Konten unverschlüsselt speicherten. Der Angreifer konnte diese Informationen auslesen und hatte somit Zugriff auf E-Mail Konten. Hier kommt die fehlende Sicherheitsarchitektur der Kanzlei zu tragen, da höchstwahrscheinlich das E-Mail Konto nicht nur für das Senden und Empfangen von Newslettern verwendet wurde sondern von den Mitarbeitern auch für Klienten-Korrespondenz genutzt wurde. Bei klarer Trennung hätte der Angreifer also lediglich einen gefälschten Newsletter versenden können bzw. einsehen können wer die Nachrichten empfängt. So konnte der Angreifer jedoch an brisante Dokumente und E-Mails gelangen.
Drupal
Neben der WordPress Homepage betrieb die Kanzlei noch ein selbst erstelltes System auf der Basis des CMS Drupal. Das Mossfon Client Information Portal ermöglichte nach eigenen Angaben das sichere Abrufen von Firmeninformationen aus der ganzen Welt. Aber auch dieses System wurde nicht regelmäßig gewartet, die verwendete Drupal-Version war drei Jahre alt und wies zumindest 23 bekannte Schwachstellen auf. Das System wurde auf einem sechs Jahre alten Apache-Webserver installiert. Somit war auch dieses System alles andere als sicher und konnte vom Angreifer kompromittiert werden. Über dieses Portal konnte der Angreifer vor allem in Besitz von Dokumenten von über 200.000 Briefkastenfirmen gelangen.
Fazit
Der Stand der Technik ist kein festes Konstrukt sondern unterliegt ständiger Weiterentwicklung. Selbst die sicherste Software benötigt regelmäßige Updates, um diese Vorgabe zu erfüllen. Die Kanzlei Mossack Fonseca hat ihre Systeme keiner regelmäßigen Wartung unterzogen und grundlegende Architekturprinzipien missachtet. So war es für den/die Angreifer ein Einfaches, an die gewünschten Dokumente zu gelangen. Zwar war dieser Angriff ein Schritt für mehr Steuergerechtigkeit, jedoch können sich solche Versäumnisse auch auf seriöse Firmen sowie Privatpersonen auswirken. Es ist daher unabdinglich das eigene IT-System einer regelmäßigen Wartung zu unterziehen. Andernfalls nützen auch die besten Sicherheitslösungen nichts. Dabei ist es unerheblich, ob OpenSource oder kommerzielle Software verwendet wird, in beiden Fällen muss das laufende System regelmäßig überprüft werden.
Für mehr Informationen zum Fall empfehlen wir Ihnen die Artikel der Sicherheitsfirma Wordfence:
Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause
Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal