Anonymous: Sicherheitslücke beim Bundestag?
Hacktivisten des Internet-Kollektivs Anonymous deckten offenbar eine Sicherheitslücke im Online-Informations-System des deutschen Bundestages auf. Es scheint sich um fehlerhaft gesetzte Zugriffsberechtigungen zu handeln - anscheinend waren interne Dokumente nicht korrekt per .htcaccess geschützt und somit von außen auffindbar. Anonymous leakte daraufhin Dokumente über den Luftschlag in Kunduz.
Da der Leak recht komplex ist, lassen sich derzeit noch keine gesicherten Aussagen über die Echtheit des Leaks und die Bedeutung der veröffentlichten Dokumente treffen. Es hat aber den Anschein, als wäre Anonymous tatsächlich gelungen, die IT-Abteilung des Bundestages bloßzustellen und relevante Dokumente zu erbeuten.
"
Wenn der deutsche Bundestag schon so mit eigenen Daten und Dokumenten umgeht, was passiert mit den Daten der Bürger?," fragt Anonymous schadenfroh auf
, wo der Leak am Abend des gestrigen Dienstag bekannt gegeben wurde. Ironisch gibt man den Tipp, sensible Dokumente per "
" zu schützen (also für Unbefugte zu sperren) oder gar nicht erst online zu stellen.
Die Sicherheitslücke nutzten die Hacktivisten, um Dokumente über den Luftschlag von Kunduz zu veröffentlichen - ein Zeichen, dass die Verantwortlichen nicht nur "for the lulz" hacken, sondern durchaus politisches Bewusstsein haben.
Der am 04. September 2009 durchgeführte
ist einer der umstrittensten Vorfälle unter Beteiiligung deutscher Truppen im Laufe des Afghanistan-Krieges. Auf Anforderung deutscher Truppen hin bombardierten US-amerikanische Kampfflugzeuge zwei von den Taliban entführte Tanklastwagen. Dabei wurden zahlreiche Zivilisten getötet, die offenbar versuchten, etwas von dem in den Wagen befindlichen Treibstoff abzuzapfen. Die NATO geht von bis zu 142 Getöteten oder Verletzten, darunter auch Kindern und Jugendlichen, aus. Später stellte sich heraus, dass bei der Anforderung des Luftangriffs falsche Angaben gemacht wurden. Der Vorfall sorgte für heftige öffentliche Kritik an den Verantwortlichen, aber auch am gesamten Afghanistan-Einsatz. Auch die Informationspolitik der Bundesregierung wurde kritisiert. So wurde lange versucht, die Zahl der zivilen Opfer zu verschweigen oder herunterzuspielen.
Die von Anonymous geleakten Dokumente sind von unterschiedlicher Bedeutung. So ist die veröffentlichte
auf eine kleine Anfrage zur Afghanistan-Informationspolitik zwar interessant, aber keineswegs geheim, sondern vielmehr ganz offiziell über die Website des Bundestages verfügbar. Einige andere Dokumente, bei denen es sich vor allem um interne Kommunikation zu dem Vorfall handelt, unterlagen zwar laut Kennzeichnung zunächst der Geheimhaltung, sind mittlerweile aber als "offen" gestempelt. Einer breiten Öffentlichkeit dürften sie allerdings bislang noch nicht bekannt gewesen sein. Potentiell brisanter - und auf jeden Fall für Interessierte sehr informativ zu lesen - ist ein
, in dem die Gespräche der beteiligten Piloten dokumentiert sind. Bei diesem sind allerdings zahlreiche Stellen geschwärzt. Link veralten (gelöscht). Diese kommt auf die vergleichsweise hohe Zahl von 102 Todesopfern. Bei "GEHEIM" handelt es sich um die zweithöchste von vier in Deutschland üblichen Geheimhaltungsstufen. Sie bedeutet typischerweise, dass "
die Kenntnisnahme durch Unbefugte […] die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen" kann.
Gulli:News schrieb die Pressestelle des deutschen Bundestages an und erbat eine Stellungnahme zu den Behauptungen von Anonymous. Über diese werden wir nach Erhalt berichten.
Update 1:
Mittlerweile liegt gulli:News eine Stellungnahme des Bundestags-Pressesprechers Christian Hoose vor. Diesem zufolge handelt es sich bei den Dokumenten um bereits veröffentlichte Materialien. "
Unter den Dokumenten befinden sich auch solche, die ursprünglich als 'geheim' oder 'vertraulich' eingestuft waren. Die Dokumente sind in Zusammenarbeit von Bundesministerium der Verteidigung und Deutscher Bundestag auf schutzbedürftige Informationen geprüft und gegebenenfalls passagenweise geschwärzt worden," heißt es in der Stellungnahme. Hoose verweist auf den öffentlichen
, zu dem auch eine Liste im Internet veröffentlichter Dokumente gehört. die von Anonymous angeblich geleakten Dokumente aufgeführt sind. So findet sich das Kommunikations-Protokoll als "Dokument 60: Redigiertes Transkript der Cockpit-Tapes der F-15E Kampfflugzeuge" in der Liste. Auch die Liste von Todesopfern wird dort aufgeführt.
Eine Stellungnahme von Anonymous zu dieser Darstellung steht noch aus.
Update 2:
Anonymous veröffentlichte mittlerweile eine
. Darin verteidigen die Hacktivisten ihren Leak. So seien die Dokumente selbst zwar nicht geheim, sondern lediglich von der Öffentlichkeit bislang unbemerkt geblieben. Die Sicherheitslücke bestehe aber trotzdem und lasse sich potentiell auch für brisantere Zwecke ausnutzen, erklärt Anonymous: "
Wir haben die Administratoren dieses Servers auf Sicherheitslücken im Suchalgorithmus hingewiesen, ebendso kann man sich via Index über /dip21/ z.B. den kompletten Order-Baum des Server anzeigen lassen, um sich so einen strukturellen Überblick zu verschaffen. 'Hacker' mit der Motivation dann wirklich 'streng geheime' Dokumente zu finden, bekommen dadurch schon mal ein leichteres Spiel. Die Fehler im Suchalgorithmus fangen ja schon damit an, wenn man nach der Bezeichnung oder Überschrift gewisser Dokumente sucht, findet man diese nicht. Alle 'geleakten' Dokumente wurden über den Index Zugriff gefunden (in wenigen Minuten)". Die Hacktivisten erklären außerdem: "
Die Fehlermeldung vom Content Management System 'Zugriff nicht gestattet' kann man eher umgehen, als durch .htaccess geschützte Ordner oder Dokumente (auch da komm es auf ein starkes Passwort an)."
Quelle: gulli
