• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
easy GDPR - we make compliance with GDPR easy

easyGDPR

We make implementing General Data Protection Regulation Easy

  • Home
  • Leistungen
    • Software
      • Quickcheck
      • easyGDPR lite
      • easyGDPR standard
      • Betroffenenanfragen
      • Sophos
    • IT Security
    • Netzwerk-Check
    • KMU DIGITAL 2.1
    • Beratungen
      • DSGVO
        • Beratung
        • Onlineberatung
      • Cybersecurity
    • Schulung
      • Datenschutz
      • Cybersecurity
  • Partner
    • Bonusprogramm
  • DSGVO
    • DSGVO News
    • FAQ
    • DSGVO Entscheidungen
    • DSGVO Strafen
    • DSGVO Gesetzestext
  • Shop
  • Kontakt
    • Kontakt
    • Anmeldung Schulung
    • Newsletteranmeldung
  • Login
    • Bonuspartner
    • easyGDPR Software
  • Deutsch
  • Englisch

Stand der Technik am Beispiel Panama Papers

26/11/2018 by Andreas Schindler

am stand der technik, panama papers

Neben Informationen und Neuigkeiten zur DSGVO möchten wir Ihnen auch technische Informationen geben, damit das Thema Datenschutz für Sie besser nachvollziehbar ist. Wie die DSGVO in Artikel 32 fordert, muss jede Datenverarbeitung am Stand der Technik vorgenommen werden. Warum das so wichtig ist, möchten wir Ihnen am Beispiel der Panama Papers von 2016 demonstrieren.

Vorgeschichte

Unter dem Begriff Panama Papers versteht man eine Vielzahl an vertraulichen Dokumenten, welche im Jahr 2016 durch investigative Journalisten weltweit veröffentlicht wurden und teils illegale Praktiken zur Steuervermeidung aufzeigten. Im deutschsprachigen Raum waren vor allem die Süddeutsche Zeitung (Deutschland) sowie der Falter (Österreich) treibende Kraft bei der Recherche. Insgesamt wurden ca. 11.5 Millionen Dokumente mit einem Umfang von 2.6 Terabyte (2600 Gigabyte) veröffentlicht.

Die Daten, darunter E-Mails, Dokumente, Handelsregister, etc., wurden größtenteils beim dubiosen Rechtsdienstleistungsunternehmen Mossack Fonseca gestohlen, welches in Folge des Skandals seinen Betrieb einstellte.

Die Dokumente belegten die Gründung von über 200.000 Briefkastenfirmen in diversen Steuerparadiesen der Welt. Diese nutzten diverse Politiker und Spitzenmanager zur Steuervermeidung, Geldwäsche und Umgehung von UN-Sanktionen. Weitere Informationen finden Sie im Wikipedia-Artikel.

 

Datenbeschaffung

Im Zuge der Veröffentlichungen wurde bekannt, wie der verantwortliche Whistleblower an die brisanten Dokumente gelangen konnte, bevor er diese der süddeutschen Zeitung zur Verfügung stellen konnte.

WordPress

Die Kanzlei Mossack Fonseca nutzte für die firmeneigene Website das beliebte Content-Management-System (CMS) WordPress. WordPress ist der unangefochtene Marktführer bei Homepages. Das System bietet eine robuste Grundstruktur mit wenig Funktionalität. Damit die Homepage stärker individualisiert werden kann, gibt es eine Vielzahl an kostenlosen- und kostenpflichtigen Erweiterungen (Plugins).

Die Kanzlei-Website hatte unter anderem das Plugin „Revolution Slider“ installiert, welches es ermöglichte mit wenig Aufwand Slideshows zu erstellen. Allerdings wurde dabei nicht die damals aktuellste Version verwendet sondern eine ca. zwei Jahre alte Version, in welcher eine schwerwiegende und bekannte Sicherheitslücke klaffte. Über diese konnte der Whistleblower einen eigenen Programmcode auf die Website hochladen und ausführen, wodurch er letztlich Vollzugriff auf die WordPress-Website hatte.

Dieser Zugriff alleine wäre nicht sehr brisant gewesen, jedoch wurde der Kanzlei zum Verhängnis, dass diese zwei Plugins für den Newsletter-Versand genutzt wurden, welche die Zugangsdaten zu den E-Mail Konten unverschlüsselt speicherten. Der Angreifer konnte diese Informationen auslesen und hatte somit Zugriff auf E-Mail Konten. Hier kommt die fehlende Sicherheitsarchitektur der Kanzlei zu tragen, da höchstwahrscheinlich das E-Mail Konto nicht nur für das Senden und Empfangen von Newslettern verwendet wurde sondern von den Mitarbeitern auch für Klienten-Korrespondenz genutzt wurde. Bei klarer Trennung hätte der Angreifer also lediglich einen gefälschten Newsletter versenden können bzw. einsehen können wer die Nachrichten empfängt. So konnte der Angreifer jedoch an brisante Dokumente und E-Mails gelangen.

Drupal

Neben der WordPress Homepage betrieb die Kanzlei noch ein selbst erstelltes System auf der Basis des CMS Drupal. Das Mossfon Client Information Portal ermöglichte nach eigenen Angaben das sichere Abrufen von Firmeninformationen aus der ganzen Welt. Aber auch dieses System wurde nicht regelmäßig gewartet, die verwendete Drupal-Version war drei Jahre alt und wies zumindest 23 bekannte Schwachstellen auf. Das System wurde auf einem sechs Jahre alten Apache-Webserver installiert. Somit war auch dieses System alles andere als sicher und konnte vom Angreifer kompromittiert werden. Über dieses Portal konnte der Angreifer vor allem in Besitz von Dokumenten von über 200.000 Briefkastenfirmen gelangen.

Fazit

Der Stand der Technik ist kein festes Konstrukt sondern unterliegt ständiger Weiterentwicklung. Selbst die sicherste Software benötigt regelmäßige Updates, um diese Vorgabe zu erfüllen. Die Kanzlei Mossack Fonseca hat ihre Systeme keiner regelmäßigen Wartung unterzogen und grundlegende Architekturprinzipien missachtet. So war es für den/die Angreifer ein Einfaches, an die gewünschten Dokumente zu gelangen. Zwar war dieser Angriff ein Schritt für mehr Steuergerechtigkeit, jedoch können sich solche Versäumnisse auch auf seriöse Firmen sowie Privatpersonen auswirken. Es ist daher unabdinglich das eigene IT-System einer regelmäßigen Wartung zu unterziehen. Andernfalls nützen auch die besten Sicherheitslösungen nichts. Dabei ist es unerheblich, ob OpenSource oder kommerzielle Software verwendet wird, in beiden Fällen muss das laufende System regelmäßig überprüft werden.

 

Für mehr Informationen zum Fall empfehlen wir Ihnen die Artikel der Sicherheitsfirma Wordfence:

Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible Cause

Panama Papers: Email Hackable via WordPress, Docs Hackable via Drupal

Category iconExpertentipps

Primary Sidebar

IT-Security Whitepaper Downloaden
  • Deutsch
  • Englisch
  • Jobangebote
  • Lizenzbedingungen für easyGDPR
  • AGB
  • Impressum
  • Datenschutzerklärung
  • DSGVO Begriffe
  • easyGDPR News
Auf unserer Website verwenden wir Cookies, um Ihnen alle relevanten Informationen anzuzeigen und Ihnen den bestmöglichen Komfort zu bieten. Durch den Klick auf “Alle Akzeptieren" sind Sie mit allen Cookies einverstanden. Unter Einstellungen können Sie auswählen, ob und welche Cookies Sie zulassen möchten.
EinstellungenAlle akzeptieren
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Analytische Cookies helfen uns zu verstehen, wie Sie als Besucher mit der Website interagieren. Aufgrund dessen erhalten wir INformationen wie Anzahl der Besucher, Absprungraten, Quellseiten usw.

Save & Accept