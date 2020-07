Bei fehlerhaft eingerichteten Servern haben Angreifer leichtes Spiel

Tausende Server in Deutsch­land sind so fehler­haft einge­richtet, dass Angreifer darauf sensible Daten ausspio­nieren können. Das berichten die Wochen­zei­tung "Die Zeit" sowie das Compu­ter­ma­gazin "c't" in ihren aktu­ellen Ausgaben.

"Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzer­daten abgreifen", schreibt die "c't".

Der Flens­burger IT-Sicher­heits-Unter­nehmer Matthias Nehls hatte zuvor rund 41 000 Systeme ermit­telt, die fehler­haft konfi­gu­riert sind. Damit könne man ohne großen Aufwand Code­ar­chive von Programmen auslesen lassen, in denen zum Beispiel Zugangs­daten zu Daten­banken mit sensi­blen Daten von Kunden gespei­chert sein können. Dabei handelt es sich um Repo­si­to­ries des Versi­ons­kon­troll­sys­tems Git.

Proble­matik seit Jahren bekannt

Wie Recher­chen der "Zeit", der "c't" und des NDR zeigen, waren von der Schwach­stelle auch Server von Dax-Konzernen oder Hoch­schulen betroffen. Zudem fanden sich unter den betrof­fenen Systemen auch Server von Mittel­ständ­lern, Arzt­praxen, Online-Shops und Stadt­werken - und das, obwohl die Proble­matik seit Jahren bekannt ist.

Das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) zeigt sich davon nicht über­rascht. "Viele kleine und mittel­große Orga­ni­sa­tionen machen sich um ihre IT-Sicher­heit keinen Kopf, da muss es erstmal knallen, bevor sie die rich­tigen Schutz­maß­nahmen einleiten", teilte Deutsch­lands Cyber­si­cher­heits­be­hörde der "Zeit" mit.

Die "c't" empfiehlt betrof­fenen Anwen­dern von Git, den Mangel in jedem Fall schleu­nigst zu beheben. "Wer sich nicht sicher ist, kann einfach http://meinedomain.de/.git/config im Browser aufrufen." Zeige der Browser eine Konfi­gu­ra­ti­ons­datei an, sei der Server von dem Problem betroffen.

