Screenshot von unerreichbarer Bundeswehr.de-Seite
Screenshot von der bundeswehr.de-Seite, inzwischen haben die verantwortlichen Stellen reagiert. Bildrechte: MDR/Michael Voß

Teilseite inzwischen abgeschaltet Internetexperte findet Sicherheitslücke bei der Bundeswehr

Ein Internetexperte hat beim Internetangebot der Bundeswehr ein Sicherheitsproblem ausgemacht, und zwar kein kleines. Auf der Seite "bundeswehr.de" konnten Außenstehende falsche Beiträge veröffentlichen - und nicht nur das. Inzwischen ist die Gefahr gebannt.

von Michael Voß, MDR AKTUELL

Screenshot von unerreichbarer Bundeswehr.de-Seite
Screenshot von der bundeswehr.de-Seite, inzwischen haben die verantwortlichen Stellen reagiert. Bildrechte: MDR/Michael Voß

"Deutschlands Freiheit wird auch im Cyberraum verteidigt", ist auf der Bundeswehr-Homepage zu lesen. Die aktuelle Werbung. Darunter dann auf Englisch das Wort "Hacked", gehackt und der Zusatz: "Leider könnte auch der IS hier seine Botschaften verbreiten." Der Internet-Experte Matthias Ungethüm sitzt vor seinem Laptop und zeigt die Sicherheitslücke, die er bei der Bundeswehr entdeckt hat.

Diese schwerwiegende Lücke lässt Angreifern die Möglichkeit, Inhalte über die Seite der Bundeswehr zu verbreiten.

Matthias Ungethüm

In seinem Beispiel hat Matthias Ungethüm den Text der Seite ausgetauscht und den graphischen Aufbau unverändert gelassen. Das ist möglich, weil ein leicht modifizierter Link dem Bundeswehr-Server mitteilt, wie er die eigentliche Seite verändern soll. Nur wer diesen Link nutzt, sieht die veränderte Seite.

Soldaten könnten Fake-Emails erhalten

Solch ein Link kann beispielsweise deutschen Soldaten, die der Bundeswehr natürlich vertrauen, per E-Mail zugeschickt werden. Der Absender lässt sich leicht fälschen, der Link beginnt, wie gewohnt, mit bundeswehr.de. Das klingt zunächst harmlos, doch auf diesem Weg könnten auch Schadprogramme verteilt werden, die die Soldaten in Lebensgefahr bringen würden.

Wenn Sie irgendwo im Einsatz sind, können wir die Rechner abfangen beziehungsweise infizierte Handys orten. Das wäre ein anderes Szenario, was wirklich krass ist, aber durch die Lücke möglich wird.

Matthias Ungethüm

Missbrauch durch IS-Inhalte nicht ausgeschlossen

Hacker Matthias Ungethüm
Hacker Matthias Ungethüm Bildrechte: MDR/Michael Voß

Die Soldaten wären von einem möglichen Gegner sofort zu orten. Doch über das Internetangebot der Bundeswehr lässt sich problemlos noch mehr verbreiten, meint der Internetexperte und Hacker Matthias Ungethüm: "Die andere Sache ist natürlich, dass die Gefahr besteht, dass zum Beispiel rechtsradikaler Inhalt, radikaler IS-Content oder ähnliche Sachen verbreitet werden. Das ließe sich genauso gut über die Seite der Bundeswehr mit dieser Lücke verbreiten."

Täuschung sogar mit Sicherheits-Kürzel

Erschwerend kommt hinzu, dass sich die Lücke im sogenannten sicheren Bereich von Bundeswehr.de verbirgt. Das vorangestellten "https" und Kürzel "ssl" täuschen diese Sicherheit allerdings nur vor.

Matthias Ungethüm hat die Bundeswehr am 08. September per E-Mail über die Lücke informiert, erhielt aber keine Antwort. Eine Sprecherin der Bundeswehr teilte MDR AKTUELL auf Nachfrage mit, diese E-Mail sei wohl im Spamfilter hängengeblieben. Der Sachverhalt werde nun mit Hochdruck geprüft. Sollte die IT-Sicherheitslücke tatsächlich bestehen, werde diese schnellstmöglich behoben.


UPDATE: Die Bundeswehr machte den entsprechenden Teilbereich der Homepage zwischenzeitlich dicht. Mittlerweile ist der Teilbereich wieder aufrufbar (Stand: Dienstag, 13:30 Uhr).

Zuletzt aktualisiert: 27. September 2016, 13:35 Uhr

Die Kommentierungsdauer ist abgelaufen. Der Beitrag kann deshalb nicht mehr kommentiert werden.

10 Kommentare

29.09.2016 13:28 Alethia 10

Um eine XSS-Schwachstelle zu finden benötigt man genügend Ausdauer. Aber ich glaube, dass dies wie dargestellt kein dramaturgisches Schreckens-Szenario darstellt. Aber wie kann ich einem "Internetexperten" als Kunde vertrauen und Aufträge erteilen wollen, wenn dieser Schwachstellen eines Unternehmens oder Behörde öffentlich macht? Der Beruf eines Penetrationstester beruht auf Vertrauen zwischen Auftraggeber und Kunde. Fachliche Kompetenz unterlasse ich hier als beurteilenden Gegenstand. Also muss ich doch als Kunde immer befürchten, dass dieses Unternehmen meine Schwachstellen als Druckmittel nutzt und ich mich erpressbar mache.
Ich denke, dass dies mal für ein Unternehmen Negativ-PR ist.

28.09.2016 10:19 Welf Haeger 9

Wenn ein "Internetexperte" https und ssl als "sogenannten sicheren Bereich von Bundeswehr.de" bezeichnet, kann das mit der Expertise nicht so weit her sein.

HTTPS und SSL (das heißt heute übrigens TLS) sind keine Anzeichen von "sicheren Bereichen" sondern sagen nur aus, dasss die Verbindung verschlüsselt wurde und wenn, in modernen Browsern, grün hervor gehoben, dass Browser dem Schlüssel vertraut, weil der Browser dem Aussteller des Zertifikates vertraut.

HTTPS soll sicherstellen, dass niemand die Verbindung mitlesen kann und nicht irgendwelche Bereiche einer Webseite schützen.

28.09.2016 09:46 FH 8

...dem Kommentar von Anonym ist nichts hinzuzufügen.

XSS-Lücken sind unschön, sie zu vermeiden ist nicht wirklich schwierig.

Aber sie in Ihrer Gefährlichkeit derartig aufzublasen, dass sie es sogar in die Nachrichten schaffen, zeugt leider nur von Journalisten, denen es am Fachwissen zur eigenen Beurteilung ebenso fehlt, wie am journalistischen Ethos, wenigstens eine zweite Quelle (dann hoffentlich mit entsprechendem Sachverstand) heranzuziehen. Diese dürfte sich übrigens auch in den eigenen Reihen der Onlineredaktion finden lassen.

27.09.2016 16:32 Querdenker 7

Zitat: "... diese E-Mail sei wohl im Spamfilter hängengeblieben" - - - - Und warum hat Matthias Ungethüm keinen Brief geschrieben, um einen "Verwaltungsakt" auszulösen? Oder mal angerufen? Ich meine es geht ja immerhin um die Sicherheit unseres Landes. :-)

27.09.2016 16:25 Querdenker 6

Das an die Seite der Bundeswehr ganz andere Sicherheits- und Qualitätskriterien gelegt werden, als an diverse andere Seiten, dürfte klar sein. Da gibt es keine Ausreden! Schutz gegen Cross-Site-Scripting (XSS) ist keine „Raketenwissenschaft“ sondern normales Grundwissen für Fachpersonal, insbesondere bei Unternehmen mit derartigen finanziellen Mitteln.

27.09.2016 15:46 Anonym 5

@MDR
Sie sind kein Fachmedium. Aber bei der schieren Anzahl an effektheischenden Artikeln hier zu den Wahnsinnstaten des Herrn Ungetüm ist Ihnen da nicht wenigstens einmal der Gedanke gekommen, dass sie lediglich eine PR-Plattform für diesen Herrn und seine Firma darstellen? Auch wenn es sich immer so schön schreiben lässt, dass ein sächsischer(!) Hacker die NSA die Bundeswehr und was weiß ich nicht alles gehackt hat - es fehlt halt schlicht ein großes Stück an Rationalität. Cross-Site-Scripting-Lücken findet man wahrscheinlich auf jeder zweiten Internetseite und auch deren Entdeckung ist keine Raketenwissenschaft. Auch wenn die allertollsten Schadenszenarien sich in einem Artikel dazu sehr schön machen, sieht das wirkliche Schadenspotential in der Realität ganz anders aus.
Meine Bitte also: Wenn das nächste mal Herr Ungetüm den Kreml, den Vatikan oder die UNO gehackt haben will dann holen Sie sich nochmal externen Sachverstand dazu und lassen die Tragweite mal rational beurteilen.

27.09.2016 15:38 Anonym 4

@MDR
Sie sind kein Fachmedium. Aber bei der schieren Anzahl an effektheischenden Artikeln hier zu den Wahnsinnstaten des Herrn Ungetüm ist Ihnen da nicht wenigstens einmal der Gedanke gekommen, dass sie lediglich eine PR-Plattform für diesen Herrn und seine Firma darstellen? Auch wenn es sich immer so schön schreiben lässt, dass ein sächsischer(!) Hacker die NSA die Bundeswehr und was weiß ich nicht alles gehackt hat - es fehlt halt schlicht ein großes Stück an Rationalität. Cross-Site-Scripting-Lücken findet man wahrscheinlich auf jeder zweiten Internetseite und auch deren Entdeckung ist keine Raketenwissenschaft. Auch wenn die allertollsten Schadenszenarien sich in einem Artikel dazu sehr schön machen, sieht das wirkliche Schadenspotential in der Realität ganz anders aus.
Meine Bitte also: Wenn das nächste mal Herr Ungetüm den Kreml, den Vatikan oder die UNO gehackt haben will dann holen Sie sich nochmal externen Sachverstand dazu und lassen die Tragweite mal rational beurteilen.

27.09.2016 14:56 Insider 3

Hier wird leider etwas total durcheinander geworfen. Ein normaler Internetnutzer hätte beim Aufruf der Seite "Bundeswehr.de" (oder auch seinerzeit "Bundestag.de" niemals eine gehackte Seite zu sehen bekommen.
Um die gehackte Seite zu sehen, benötigt man eine speziell präparierte URL, die einem Nutzer, wie im Artikel beschrieben, z.B. per E-Mail zugesandt wurde und die der Nutzer direkt(!) anklickt (so funktioniert übrigens auch das Phishing von Kontodaten mit PIN/TAN).
Die Technik, die hier zur Anwendung kommt, nennt man Cross Site Scripting und wird von vielen Webanbietern sogar bewusst genutzt um fremde Inhalte innerhalb der eigenen Seite anzuzeigen (z.B. Werbung).
Das Problem, dass unsere Cyberkrieger oder auch schon die Admins des Bundestages hatten, ist, dass sie einfach "vergessen" haben, die Webserver gegen unauthorisiertes Cross Site Scripting zu sichern.

27.09.2016 12:53 Querdenker 2

Zitat: "Deutschlands Freiheit wird auch im Cyberraum verteidigt" - - - Ja und wahrscheinlich von Dilettanten, da diese Sicherheitslücke scheinbar schon seit Monaten bekannt ist? Siehe hierzu Pressemeldungen von Juni: „Sicherheitslücke: Bundestags-Website manipulierbar“ - - - Zitat: „diese E-Mail sei wohl im Spamfilter hängengeblieben“ - - - Bevölkerungsverblödung!? - - - Die Presse möge mal recherchieren, ob die Sicherheitslücken zusammenhängen.

27.09.2016 12:10 Max 1

Soviel zu unseren Fachkräften. Ich sehe da nur einen massiven Fachkräftemangel. Wahrscheinlich würde die Bundeswehr einen Angriff gegen Deutschland auch noch verschlafen, weil sie die Wecker bei einem Discounter gekauft haben!