Sicherheitslücken bei NRW-Staatsanwaltschaften?

0
2245
Der Verdacht steht im Raum: Mailserver von NRWs Staatsanwaltschaften sollen leichte Beute für Hacker sein. Der zuständige IT-Dienstleister IT NRW kann das nach ersten Prüfungen nicht bestätigen. (Foto: Blogtrepreneur, CC BY 2.0, www.flickr.com)

Die Mailserver von Staatsanwaltschaften sollen in Nordrheinwestfalen sollen Sicherheitslücken aufweisen. So das Ergebnis eines Tests durch einen IT-Sicherheitsexperten, der auf das Aufspüren von Schwachstellen in IT-Systemen spezialisiert ist.

So sei es möglich, eine Mail an eine nicht existierende Adresse in der Domäne der Dortmunder Staatsanwaltschaft zu schicken. Eine automatische Antwortmail liefere Informationen zum Mailserver, eingesetzter Software und fehlenden Updates. Auf dieser Grundlage wäre eine Infizierung mit Schadsoftware leicht. Die Folge: Ein Hacker könnte sich vollen Zugriff auf alle Mails verschaffen, sie löschen oder selbst welche verfassen.

IT NRW prüft

Zuständig für die IT-Infrastruktur der Staatsanwaltschaften in Nordrhein-Westfalen und damit für die IT-Sicherheit ist der IT-Dienstleister der Landesverwaltung IT NRW. Dort gehe man den Hinweisen selbstverständlich nach, heißt es von einem Sprecher. Eine Suche nach möglichen Eindringlingen in Mail-Systemen der Staatsanwaltschaften habe keine akute Gefahr zu Tage gefördert.

Der IT-Dienstleister wurde im Rahmen einer WDR-Recherche über die mögliche Gefahr informiert – eine Woche vor der Veröffentlichung durch den Sender. Den IT-Spezialisten, der die potentiellen Lücken entdeckt haben will, habe man daraufhin eingeladen, den Angriff vor Ort zu demonstrieren. Das sei noch nicht geschehen. “Der Beweis, dass ein Zugriff auf Mails möglich wäre, ist noch nicht angetreten”, heißt es seitens IT NRW.
Üblicherweise erfolgt die öffentliche Bekanntgabe von konkret dokumentierten Sicherheitsproblemen durch IT-Sicherheitsexperten erst, nachdem die Verantwortlichen ausreichend Zeit hatten, sie zu beheben. So soll verhindert werden, dass Angreifer erst auf leichte Ziele aufmerksam gemacht werden. Man spricht auch vom responsible disclosure-Prozess (zu deutsch etwa: verantwortungsvolles Bekanntmachen).

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here