Die Frontend-Systeme der Anwaltskanzlei Mossack Fonseca sind seit langem nicht mehr auf dem aktuellen Stand und besitzen zahlreiche Sicherheitslücken. Das ergab jetzt eine Analyse von verschiedenen Experten. Einer von ihnen bezeichnete die Nachlässigkeit der Firma als „erstaunlich“: Unter anderem hatte Mossack Fonseca sein E-Mail-Programm Outlook Web Access seit 2009 nicht mehr geupdated und auch das Login-Protal seiner Kunden ist seit 2013 veraltet.
Ein Angreifer kann außerdem auf Mossack Fonsecas Kundenportal einfach mitlesen, da die Kommunikation problemlos durch den DROWN-Exploit abgegriffen werden kann. Dabei nutzt ein Angreifer eine Sicherheitslücke auf alten Servern aus, die noch immer mit dem SSL-v2-Protokoll laufen. Auch das auf dem Content-Management-System Drupal basierende Kundenportal wurde zuletzt im August 2013 geupdated. So geht es aus der Versionshistorie der Seite hervor.
Auf seiner Website verspricht Mossack Fonseca seinen Kunden einen „sicheren Online-Zugang“, mit dem sie auf „die Informationen ihrer Firma von überall auf der Welt“ zugreifen können. Doch die von der Kanzlei verwendete Version von Drupal besaß mindestens 25 Sicherheitsprobleme, darunter eine extrem gefährliche SQL-Injection, die es einem Fremden von außen erlaubt, jeden beliebigen Befehl auszuführen. Ein Sicherheitsforscher merkte sogar an, dass es möglich sei, direkt auf das Backend zuzugreifen, indem man die Link-Struktur der Seite errät.
Die Homepage von Mossack Fonseca läuft mit einer drei Monate alten Version von Wordpress. Eine weitere Sicherheitslücke macht einen Zugriff auf die dort im Backend hochgeladenen Dateien möglich, man muss einfach nur deren Links erraten.
Es ist ziemlich überraschend, dass sie nicht mehr über die Sicherheit von E-Mails nachgedacht haben.
Ein Sicherheitsforscher, der Anonym bleiben wollte, sagte gegenüber WIRED, dass die Art, wie der Server und die Internetseite konfiguriert wären, nicht innerhalb aktueller Sicherheitsstandards läge. Durch eine von ihm gezeigte Methode hätten Daten jederzeit von Dritten entwendet werden können. Der Server sei fehlerhaft konfiguriert gewesen und hätte es deshalb erlaubt, sich Verzeichnislisten anzeigen zu lassen.
Professor Alan Woodward, ein Computersicherheitsexperte von der britischen Surrey University, sagt, dass das Frontend von Mossack Fonseca „grauenhaft“ out-of-date ist. „Ich kann es nicht verstehen“, sagt Woodward. „Betrachtet man Outlook Web Access — wenn man seinen Exchange Server einfach regelmäßig updated, dann passiert einfach alles automatisch. Es ist wie ein Trip zurück in die Vergangenheit. Wenn ich einer ihrer Kunden wäre, wäre ich sehr beunruhigt darüber, dass sie mit solch veralteter Technik kommunizieren.“
Die E-Mails von Mossack Fonseca waren laut Sicherheitsexperte Christopher Soghoian auch nicht verschlüsselt. Die Firma verwendete kein TLS-Sicherheitsprotokoll. „Wenn man sich überlegt, in welchem Geschäft sie tätig sind, ist es ziemlich überraschend, dass sie nicht mehr über die Sicherheit von E-Mails nachgedacht haben“, sagt Angela Sasse, Professorin für nutzerorientierte Technologien am University College in London.
„Ich würde TLS-Verschlüsselung als gerade so okay für eine Firma ohne hohes Risikopotential einstufen, wenn man es richtig macht und regelmäßig administriert. Es gibt scheinbar keine Kenntnis darüber, wie einfach es ist, diese Dienste anzugreifen“, sagt Sasse.
Welche Sicherheitslücken wirklich von den Angreifern genutzt wurden, ist unbekannt. Mossack Fonseca sagt, dass derzeit „eine Tiefenanalyse mit Experten“ durchgeführt wird und „zusätzliche Maßnahmen“ ergriffen werden, um das System zu schützen. In einer geleakten E-Mail an Kunden von Mossack Fonseca bestätigte die Firma „einen unautorisierten Einbruch“ in ihre E-Mail-Server. Ramon Fonseca, einer der Partner der Kanzlei, hat außerdem bestätigt, dass das Leak „kein Angriff von Innen“ gewesen sei und sein Unternehmen von Servern im Ausland angegriffen wurde. Auf Anfragen von WIRED reagierte Mossack Fonseca nicht.
Ich würde auf einen einzelnen Hacker wetten, der einfach Glück hatte. Der schockiert war und es deshalb geleakt hat.
Es ist weiterhin unklar, wer der Angreifer gewesen ist. Eerke Boiten, Dozent an der britischen University of Kent, sagt, dass das Leak trotzdem die Arbeit eines Insiders gewesen sein könnte: „Wir wissen, dass es eine große Menge Daten waren und diese nach und nach weitergegeben wurden. Das deutet auf einen Insider hin, der genug Rechte im System hatte, um Zugriff auf alle Daten zu haben, aber eben nicht genug Rechte hatte, alles in einem Aufwasch auf eine CD zu kopieren.“
Woodward widerspricht dieser These: Die Schwächen im System von Mossack Fonseca wären ausreichend gewesen, um von externen Angreifern gescannt und ausgenutzt zu werden. Ein Angreifer könnte sogar ein Staat gewesen sein, vermutet er: „Wenn ich darauf wetten müsste, dann würde ich entweder auf einen einzelnen Hacker setzten, der einfach Glück hatte. Der von dem was er gefunden hat schockiert war und es deshalb geleakt hat. Oder auf einen Nationalstaat, der einfach genug von Steuerflüchtlingen hatte.“
Die schlechten Datenschutz-Praktiken von Anwaltskanzleien aus der Offline-Welt wurden in die digitale übertragen.
Bisher ist nur wenig über die Quelle bekannt, von der die Süddeutsche Zeitung die Daten erhalten hat. In einem verschlüsselten Chat Ende 2014 sagte die Person, dass ihr Leben in Gefahr wäre, sie aber Daten über Mossack Fonseca hätte, die sie Teilen möchte. Auf die Frage, wie viele Daten es wären, antwortete die Person: „Mehr als ihr je gesehen habt.“
Es dauerte fast ein Jahr, bis alle Daten bei den Journalisten angekommen waren, die Quelle schickte sie nur tröpfchenweise. Das Archiv mit seinen über 11,5 Millionen Dokumenten ging zurück bis in die 1970er und hatte eine Größe von 2,6 Terabyte. Damit ist es das größte Datenleck der Geschichte.
Die Panama Papers belegen insgesamt 214.488 Offshore-Firmen von Mossack Fonseca. Teil des Leaks waren aber auch E-Mails, Kontakte, gescannte Dokumente und Transkripte. Wenn man das Archiv aufteilt, dann bestand es aus 4,8 Millionen Datenbank-Dateien, 2,1 Millionen PDFs, 1,1 Millionen Bilder, 320.166 Textdateien und 2242 andere Dateien. Jede Briefkastenfirma hatte ihren eigenen Ordner, in dem sich alle zugehörigen Dateien befanden. Eine vollständige Liste mit Firmen und Personen, die mit den Offshore-Firmen in Verbindung gebracht werden, soll im Mai 2016 veröffentlicht werden.
Die Computersysteme sind wie eine Einladung auf der steht: Um Rückmeldung wird gebeten.
Daniel Dresner, Dozent für Cyber-Security an der britischen Manchester University, sagt, dass es nicht unüblich für Anwaltskanzleien ist, lockere Sicherheitsstandards zu besitzen: „Man hat das Gefühl, dass Juristen glauben, dass sie sich immer aus der Schlinge winden können, weil sie einfach clever sind“, sagt Dresner. „Aber immer mehr Menschen fällt auf, dass Kanzleien das Ziel für Angriffe werden. Wenn man einfach mal über die Größe dessen nachdenkt, über was sie verhandeln, und wer daran beteiligt ist. Das gibt Menschen, die an Insider-Informationen kommen wollen, eine Motivation.“
Dresner sagt, dass die oftmals schlechten Datenschutz-Praktiken von Anwaltskanzleien aus der Offline-Welt eindeutig in die digitale übertragen wurden. „Man muss sich einfach nur die Rücksitze der BMWs von Partnern großer Anwaltskanzleien anschauen. Man wäre schockiert. Sie lassen dort riesige Papierstapel einfach rumliegen“, sagt Dresner. „Ich kannte eine Kanzlei, bei der es zu den Sicherheitsvorkehrung gehörte, im Sommer das Gebäude zu patrouillieren, um zu überprüfen, dass keine Dokumente aus dem Fenster geweht wurden.“
„Es gibt viele Angriffswinkel“, sagt Dresner, wenn man ihm eine Liste der Probleme mit den Computersystemen von Mossack Fonseca zeigt. „Es ist wie eine Einladung auf der steht: Um Rückmeldung wird gebeten.“
Dieser Artikel ist zuerst bei WIRED UK erschienen.
