Panama Papers: Ein Plugin für Revolution

War veraltete Software und nicht ein Hacker die Ursache für den Datenleak?

Ein Datenleak von historischer Bedeutung: Über 11 Millionen Dokumente hat eine anonyme Quelle der Süddeutschen Zeitung zugespielt. Die Dokumente zeigen, wie die Anwaltskanzlei Mossack Fonseca Prominenten, Präsidenten und anderen Superreichen hilft, ihr Geld in der Steueroase Panama zu verstecken.

Der Kanzleichef Ramón Fonseca Mora behauptet, dass ein Hacker die Daten gestohlen habe. Sicherlich würde kaum jemand eingestehen, dass ein Mitarbeiter direkt vor der eigenen Nase sensible Daten stiehlt. "So eine riesige Datenmenge zu entwenden, ohne dass jemand etwas merkt, ist in jedem Fall schwer, sowohl für einen Hacker, als auch für einen internen Mitarbeiter", sagt Marco Preuss, Leiter des europäischen Analyseteams des Softwareunternehmens Kaspersky Lab. "Außer wenn niemand darauf achtet, was auf den Servern passiert."

Nun zeigt sich: die Mossack-Website war anscheinend nicht ausreichend geschützt. Kann es sein, dass ein kleiner Plugin-Fehler die brisanteste Enthüllung der letzten Jahre ermöglichte?

Am 7. April berichtete das IT-Sicherheitsunternehmen Wordfence in seinem Blog, dass Mossack Fonseca unsichere Software auf seiner Webseite benutzt. Wordfence hat mehrere Sicherheitslücken gefunden, vor allem in veralteten Versionen der Content-Management-Systeme Drupal und Wordpress sowie im Plugin Slider Revolution. "Wir glauben, dass der Hacker über Slider Revolution einen Zugang erhalten haben könnte", sagt Mark Maunder von Wordfence.

"Kunden konnten sich auf der Firmenwebseite einloggen und ihre Daten einsehen", sagt Mark. "Unverschlüsselte Emails wurden über dasselbe Netzwerk ausgetauscht." Wer also Zugang zu der Webseite hatte, würde auf viele sensible Daten stoßen. Und laut Süddeutscher Zeitung bestand das Leak zum Großteil aus Emails und Kundendaten.

Slider Revolution, dessen Name nun einen ironischen Beiklang bekommt, hat die Aufgabe, Texte, Bilder und Videos auf einer Webseite darzustellen. Rund 1.5 Millionen Menschen nutzen es - oft ohne sich dessen bewusst zu sein. Entwickelt hat es das Kölner Unternehmen namens ThemePunch.

2014 erfuhren ThemePunch-Gründer von einer Sicherheitslücke in ihrem Plugin, die Local File Disclosure genannt wird. Sicherheitslücken funktionieren wie kleine Hintertürchen: Durch Fehler in Anwendungen oder Betriebssystemen kann man von einem Server oder einem Computer beliebige Dateien herunterladen. "Durch den Fehler im Slider Revolution konnte man auf Server zugreifen und dort Schadsoftware platzieren", sagt Moritz Praetorius von ThemePunch.

Zwar hat ThemePunch den Fehler schnell behoben, jedoch aktualisieren viele Nutzer ihre Software nicht und die Webseiten bleiben weiterhin verwundbar. Deswegen ist die Lücke in den alten Versionen von Slider Revolution noch immer verbreitet. "Wir haben bei 30 Prozent der Wordfence-Kunden damit zu tun", sagt Mark Maunder.

Eine Firewall kann solche Fremdzugriffe auf Webseiten vereiteln, doch Mossack Fonseca hat laut Wordfence keine benutzt.

Inzwischen lassen die Entwickler von Slider Revolution ihre Anwendungen regelmäßig vom Cybersicherheitsunternehmen Dewhurst Security prüfen. Laut dem Leiter Ryan Dewhurst war die Plugin-Version auf der Mossack-Webseite aus dem Jahr 2013. "Ich konnte erkennen, dass die Webseite mehrere Sicherheitsprobleme hatte", sagt er.

Unsere Nachfrage, ob die Sicherheitslücke im Slider Revolution Plugin für den Leak verantwortlich gewesen sein könnte, hat Mossack Fonseca bislang nicht beantwortet.

Ob es ein Hacker, ein Insider oder womöglich eine Kombination aus beiden war: Dieser Fall ist es ein Lehrstück über Datensicherheit. Wer etwas zu verstecken hat, achtet wohl besser auf Updates und benutzt eine Firewall. Wenn ein Unternehmen wie Mossack Fonseca so mit Daten von solcher Sprengkraft umgeht, sollten wir uns vielleicht fragen, wie es wohl bei anderen Webseiten aussieht, denen wir unsere Daten anvertrauen.

Anzeige