Die IT-Umgebungen von Unternehmen anzugreifen, ist manches Mal unfassbar einfach. Häufig kann man Daten abgreifen oder Industriesteuerungen übernehmen, ohne überhaupt Sicherheitsmechanismen umgehen zu müssen. Die c't-Redaktion hat deshalb den Portscanner angeworfen und das gesamte Internet abgesucht. Dabei ist sie auf jede Menge ungeschützte Freigaben gestoßen, sie entdeckte ungesicherte Industrieanlagen und unverschlüsselte Pager-Netze ebenso wie viel zu gesprächige Wordpress-Installationen.

Früher war alles besser

Paradiesische Zustände müssen das gewesen sein, als die Vorläufer des Internets erfunden wurden: Das gesamte Netzwerk bestand aus einer Handvoll freundlich gesinnter Nutzer aus Forschungseinrichtungen und wer einen Dienst anbot, konnte mit Dankbarkeit und gutgemeinten Ratschlägen rechnen. Dass das im heutigen Internet anders aussieht, hat sich mittlerweile herumgesprochen – sollte man zumindest annehmen. Im Internet tummeln sich längst nicht nur freundliche Zeitgenossen und schon als gewöhnlicher Nutzer muss man ständig auf der Hut sein.

Ungleich aufmerksamer muss man sich aber verhalten, wenn man selbst einen Dienst im Internet veröffentlichen möchte. Immer dann, wenn Sie die Konfigurationsoberfläche des eigenen Routers öffnet und eine Portweiterleitung einrichtet, sollten Sie sich bewusst machen, welche Verantwortung damit verbunden ist. Ein handelsüblicher Router, der nebenbei als Firewall arbeitet, lehnt alle Anfragen von außen grundsätzlich ab und schützt die Geräte im Netz vor Anfragen aus dem Internet.

Mit einer Portweiterleitung bohrt man gezielt ein Loch in diese Firewall und legt fest, welcher Port zu welchem Gerät im privaten Netz weitergeleitet werden soll. Das kann ein Webserver sein, die Steuerung des Smart-Homes oder ein Mailserver. Wichtig ist jetzt: Der veröffentlichte Dienst muss unbedingt mit einer Anmeldung versehen, verschlüsselt und die verwendete Software stets aktuell sein. Vor allem aber sollten Sie die Finger von Portweiterleitungen lassen, wenn Sie sich unsicher sind.

Planlos offen?

Wer unbedacht Ports aufreißt, der riskiert, dass ihm Daten gestohlen werden oder andere im privaten Netz umherspazieren und dort Schaden anrichten. Doch leider sind solche Fehlkonfigurationen keine Seltenheit. Immer wieder bekamen wir in der Vergangenheit Hinweise auf einzelne Fälle, die Hinweisgeber zufällig entdeckt haben. Besonders prominente Fälle waren eine Arztpraxis und die Autovermietung Buchbinder, beiden wurden ungeschützte Dateifreigaben zum Verhängnis. Doch sind solche Probleme Einzelfälle oder eher die Regel? Um das herauszufinden, haben wir das Internet systematisch unter die Lupe genommen. In diesem und den folgenden Artikeln stellen wir eine Auswahl unserer Erkenntnisse vor. Die Fälle stehen exemplarisch für viele weitere Funde – gleichzeitig geben wir Ratschläge, wie Sie als Administrator solche Fehler vermeiden können.

In diesem Beitrag beschreiben wir, wie wir vorgegangen sind, und zeigen beispielhaft am Protokoll SMB, welche Folgen eine Fehlkonfiguration haben kann. Außerdem haben wir uns gezielt mit Industriesteuerungen und dem IoT-Protokoll MQTT auseinandergesetzt – in Industrieanlagen können offene Systeme in kurzer Zeit besonders viel Schaden anrichten. Quasi nebenbei stießen wir bei unseren Recherchen auf weitere Konfigurationsfehler – wie unachtsame Admins Feuerwehr- und Rettungsdienstnachrichten im Internet veröffentlichten.

Unschöne Probleme kann man sich auch als Betreiber von Newsletter-Formularen eintreten. WIr zeigen auf, wie Unachtsamkeiten bei Kontaktformularen und Newsletter-Anmeldungen Spammern und Phishern zum Erfolg verhelfen. Allzu kommunikativ sind auch falsch konfigurierte Wordpress-Umgebungen. Doch nicht nur im Internet wird gern unverschlüsselt und ungeschützt kommuniziert. Auch im Funkspektrum findet man mit einem günstigen Empfänger mehr offene Datenübertragung, als die DSGVO erlaubt.