Ein schwerer Mangel in der IT-Sicherheit am Flughafen Düsseldorf

Der Dotnet-Doktor  –  0 Kommentare

Ein Flughafen gilt immer mehr als ein Ort besonderer Sicherheitsmaßnahmen – zumindest was die Abfertigung der Passagiere angeht. Der Düsseldorfer Flughafen hat mir letztens bewiesen, dass man im Bereich der IT-Sicherheit nachlässig ist.

In einem der Abfertigungsräume erblickte ich beim Warten auf den Bus zum Flugzeug den unten abgebildeten Monitor, der eigentlich Ziel und Einsteigezeit zeigen sollte. Die Fehlermeldung zeigt eine Programmcodezeile, die nicht nur den Benutzernamen eines administrativen Kontos zeigt, sondern auch das vollständige Kennwort im Klartext. Zum Schutz der Flughafen-IT habe ich hier allerdings den mittleren Teil des Kennwortes unleserlich gemacht.

Kennwort auf dem Bildschirm im Klartext am Flughafen Düsseldorf

Die IT des Düsseldorfer Flughafen hat hier gegen drei elementare Programmiererregeln verstoßen:

  • Keine Benutzername und Kennwörter im Programmcode fest verdrahten.
  • Keine Kennwörter im Klartext ablegen.
  • Dem Endbenutzer keine Programmzeilen im Fehlerfall anzeigen.

Auch wenn die Anwendung des Flughafens offensichtlich nicht in .NET geschrieben wurde, stellt sich in diesem .NET-Blog jetzt sicherlich bei dem ein oder anderen Entwickler die Frage, welche Instrumente .NET denn bietet, um diese Programmiererregeln einzuhalten. Hierzu möchte ich verweisen auf: