Sicherheitspanne bei Security-Test auf cnlab.ch/kassensturz

Nach der Kassensturz-Sendung über die Sicherheit von Breitbandkunden (siehe NetzwocheTicker von gestern), bot das Kassensturz-Team auf seiner Website die Möglichkeit an, mit einem Security-Test unter www.cnlab.ch/kassensturz die Sicherheit des eigenen Computers testen zu lassen. Dies geschah über einen NAT-Router-Test, der anzeigt, ob die Internetadresse des Rechners öffentlich bekannt ist und mit dem Windows-Freigaben-Test, der zeigt ob vom Internet her auf die Freigaben des Users zugegriffen werden kann. Die beiden Tests wurden im Rahmen einer Studienarbeit an der HSR Hochschule für Technik Rapperswil entwickelt. Der Test-Server steht bei der Security-Spezialistin cnlab Information Technology Research in Rapperswil. Die Test-Logfiles mit den Resultaten des Windows-Freigaben-Tests, also Informationen zur Anzahl Freigaben, mit den zugehörigen IP-Adressen waren jedoch während der Nacht vom Dienstag auf Mittwoch auf dem Server übers Internet frei einsehbar. Entdeckt wurden die ungeschützten Logfiles von Mitarbeitern der im Kassensturz heftig kritisierten Internet Service Provider. Diese hatten in Foren übrigens auch darauf hingewiesen, dass die Kassensturz-Website ziemlich offen und schlecht geschützt sei. Peter Heinzmann von cnlab, Verantwortlicher des Kassensturztests und Professor an der Hochschule für Technik Rapperswil, bedauerte den Fehler. Er erklärte, dass man die betreffenden Files am Mittwochmorgen umgehend entfernt habe. Insgesamt hätten 127 Personen auf die betreffenden Logfiles zugegriffen. Es seien wohl so viele gewesen, weil Hinweise darauf in Newsgroups kursiert seien, sagte Heinzmann. Von den im besagten Logfile aufgeführten IP-Adessen waren bis Mittwochnachmittag in zehn Fällen die im Test empfohlenen Korrekturen noch nicht vorgenommen worden. In drei Fällen wären persönliche Informationen einsehbar gewesen. Cnlab habe die Besitzer der betreffenden Rechner kontaktiert und bei der Behebung des Mangels unterstützt, sagte Heinzmann. In der angesprochenen Kassensturz-Sendung hatten von Heinzmann und cnlab durchgeführte Tests ergeben, dass ein grosser Teil der Breitbandnutzer mit völlig ungeschützten Computern ans Internet angehängt ist, bei gewissen Providern sogar über die Hälfte. Die Tests für die Sendung waren vom Datenleck nicht betroffen.