server04-klein.png
Verfügbarkeit Vertraulichkeit Integrität

 

Ein Beispiel:

Der Kegelclub "Schwache Achte..." möchte seine Erfolge bei Turnieren öffentlich zeigen. Gleichzeitig möchte man für neue Mitglieder werben, weil die Altersstruktur befürchten lässt, dass man die eine oder Aktivität bald einstellen muss.

Der Kegelbruder "Heinz" kennt sich ein wenig im Internet aus und will den Internetauftritt übernehmen. Er hat noch einen alten Rechner im Keller, den er "fertig" macht und die Homepage dort einrichtet. Die Hürden in Bezug auf wechselnde IP-Adresse seines privaten Anschlusses löst er, indem er einen kostenlosen Dienst wie "DynDNS" nutzt. Diesem teilt seine Fritzbox immer wieder nach der Zwangstrennung die neue IP-Adresse mit. Eine Domain in der Form "schwacheachte.dyndns-private.org" wurde gleich mitgeliefert und so ist die Seite nun auch aus dem Internet erreichbar. Um die Dateien der Homepage bequem übertragen zu können, richtete er noch einen sog. FTP-Server (File Transfer Protocol) ein.

Nach einigen Wochen ruft ihn ein anderer Kegelbruder an und fragt ihn empört, was er mit dem Auftritt gemacht habe. Schnell ruft er ihn auf und sieht, dass "seine" Seite dort nicht mehr existiert. Es befindet sich jede Menge Werbung für kostenpflichtige Erotik-Seiten und Dateien, die er gar nicht zuordnen kann. Als er eine Datei auf seinem persönlichen Rechner öffnet, verschlüsselt diese seine Festplatte und fordert ihn auf, einen drei-stelligen Betrag mittels eines Geldtransfer-Dienstes wie UCash oder Western Union zu übertragen.

Was war passiert?

Heinz wollte die Internetseite zu Hause bereitstellen und hat dafür seiner FritzBox zwei Dinge als Aufgabe mitgegeben:

  • Dem Dienst "DynDNS" immer wieder mitzuteilen, welche IP-Adresse der DSL-Anschluss nach der Zwangstrennung hat.
  • Alle Anfragen aus dem Internet an den Rechner mit dem Inhalt der Seite "schwacheachte" weiterzuleiten.

Dadurch war es nun jedermann möglich von außen auf den Rechner zuzugreifen. Mit der Adresse "schwacheachte..." gelangte man nun immer an den Rechner. Jede Anfrage wurde nun beantwortet. Nun konnte jeder ausprobieren, welche Form der Anfrage beantwortet wurde.

Unbekannte kamen schnell darauf, dass es nicht nur Fragen nach der Homepage (HTTP-Anfragen) beantwortet wurden, sondern auch nach dem FTP-Protokoll. Dies machten sie sich zu Nutze, weil es dort nur eine schwache Absicherung ohne Passwort gab und veränderten den Inhalt.

Was hätte man besser machen können?

  • Konfiguration der FritzBox, den internen Rechner mit dem WebServer nicht als "exposed Host" zu konfigurieren, an den alle Anfragen weitergeleitet werden. Beschränkung der Verbindungen auf HTTP oder HTTPS-Verbindungen (Port 80 o. 443)
  • Ein starkes Passwort für den FTP-Server-Zugang.
  • Abschottung des FTP-Server gegenüber der FritzBox

Grundsätzlich sollten solche Webseiten nicht auf privaten Rechner "gehostet" werden. Die Gefahr, durch Unachtsamkeit großen Schaden zu erleiden, ist nicht unerheblich.

Sollten Sie als Verein oder kleine Firma Ihre Internetpräsenz planen, helfe ich Ihnen gerne, das Ganze aus Sicht der Informationssicherheit zu betrachten.