Die IT-Sicherheit auf der Website der deutschen Bundeswehr ist offenbar mangelhaft. Zahlreiche sensible PDF-Dokumente, darunter Telefon-Listen und interne Strategie-Papiere, können über eine einfache Google-Suche mit den richtigen Parametern gefunden werden. Dies deckten die Hacktivisten von den "AnonyPwnies" auf, die auch einige gefundene Dokumente über einen Filehoster verbreiten.
Die Website der deutschen Bundeswehr, bundeswehr.de, weist offenbar Mängel bei der IT-Sicherheit auf. Durch eine mit entsprechenden Parametern durchgeführte Google-Suche lassen sich auch sensible PDFs finden. Diese Probleme wurden von den Hacktivisten der AnonyPwnies - eines Ablegers des Online-Kollektivs Anonymous - aufgedeckt. Die Pwnies machten in den letzten Monaten mehrfach durch das Aufdecken von Sicherheitslücken und die Veröffentlichung sensibler Daten auf sich aufmerksam.
Eine Auswahl von auf bundeswehr.de gefundenen sensiblen, "nur zum Dienstgebrauch" bestimmten Dokumenten veröffentlichen die Hacktivisten im Internet. In dem
Zip-Archiv finden sich mehrere Telefon-Listen des Logistikzentrums der Bundeswehr, ein Lageplan der Sportschule des Logistikzentrums sowie ein PDF namens "Leitfaden zum Datenzugriff - insbesondere für den Bereich der Telekommunikation" der Generalstaatsanwaltschaft München.
Letzteres Dokument ist mit dem durchaus humoristischen Titel "munich-spy.pdf" bezeichnet und laut Titel auf dem Stand von Juni 2011, also einigermaßen aktuell. Darin finden sich unter Anderem "Literatur u. nützliche Links" zur Telekommunikations-Überwachung, eine Zusammenfassung der rechtlichen Grundlagen und die Prozeduren für ein Rechtshilfeersuchen für den Zugriff auf ausländische Server. Behandelt werden verschiedene Maßnahmen wie die "Aufzeichnung v. Telekommunikation" (also das Abhören von Telefongesprächen oder das Mitlesen und Aufzeichnen anderer Telekommunikation), die datenforensische Auswertung von Mobiltelefonen und SIM-Karten sowie die Abfrage von Personendaten zu IP-Adressen und Telefonnummern und von Mobilfunk-Standortdaten, Rechnungsdaten und "Verkehrsdaten".
Interessant ist auch eine im Dokument enthaltene Liste über die Speicherfristen verschiedener Mobilfunk-Provider, die belegt, dass T-Mobile und Vodafone einige Daten bis zu sechs Monate lang speichern und E-Plus immerhin drei Monate lang alle Verkehrsdaten vollständig vorhält. Auch andere Provider speichern laut dieser Liste zumindest einen Teil der Daten mehrere Wochen lang. Dies deckt sich mit Medienberichten, die im September zu erheblicher Kritik an den Mobilfunk-Dienstleistern führten, da eine derart lange Speicherung der momentanen deutschen Rechtslage widerspricht (gulli:News berichtete). Die Berliner Zeitung hatte sich in ihrem Bericht bereits damals auf "eine Aufstellung der Generalstaatsanwaltschaft München" berufen, bei der es sich um das nun aufgetauchte Dokument handeln dürfte. Der Arbeitskreis Vorratsdatenspeicherung, ein in Deutschland bekannter Zusammenschluss von Datenschützern, zeigte die Provider wegen der illegalen Speicherung mittlerweile an.
Das entsprechende Dokument tauchte bereits am 8. September auf der Whistleblowing-Website Cryptome auf, fand dort aber nur wenig öffentliche Beachtung. Der Leak durch die deutschsprachigen Hacktivisten könnte womöglich für eine größere Aufmerksamkeit sorgen.
Interessant ist, dass in der Liste neben Mobilfunk- auch Festnetz-Provider aufgeführt werden, die die erlaubten Speicherfristen ebenfalls deutlich überschreiten. Hier wäre beispielsweise Vodafone/Arcor zu nennen, wo Daten drei Monate lang gespeichert werden. HanseNet, M-Net und BT Germany haben demnach gar Speicherfristen von sechs Monaten. Die Deutsche Telekom zeigt sich dagegen vorbildlich und speichert Daten nur auf Kundenwunsch für mehr als drei Tage. Es wird sich zeigen, ob angesichts der sich hier abzeichnenden Rechtsverstöße auch in diesem Falle jemand rechtliche Konsequenzen ziehen und die Unternehmen anzeigen wird.
Ebenso sind in dem PDF die IP-Speicherdauern von Online-Unternehmen wie Web.de, GMX und Yahoo - Yahoo speichert demnach übrigens keine IP-Adressen - sowie von Internet-Providern aufgeführt. Deutsche Internet-Provider scheinen demnach IP-Adressen mehrheitlich nicht oder nur für wenige Tage zu speichern. Lediglich 1&1 scheint IP-Adressen 60 Tage lang zu speichern; dies gilt aber offenbar nur für den angebotenen VoIP-Dienst.
Angesichts dieses durchaus Aufsehen erregenden Leaks dürften nun mehrere Seiten unter Zugzwang sein. Einerseits wäre hier natürlich die Bundeswehr zu nennen, die in Erklärungsnöten sein dürfte, warum derartige Dokumente ohne weiteres gefunden und heruntergeladen werden können. Andererseits dürften auch auf die Telekommunikations-Unternehmen, deren mutmßaliche illegale Praktiken auf diesem Wege schwarz auf weiß nachzulesen sind, der Datenschutz-Bewegung, ihren Kunden, aber womöglich auch den Gerichten, einiges zu erklären haben. Somit dürften die Hacktivisten von den AnonyPwnies, nachdem Hacktivismus und Leaks bereits in anderen Ländern in die Schlagzeilen kamen, nun auch in Deutschland für Gesprächsstoff gesorgt haben.
Quelle :
www.gulli.com
