Datenbankpasswort und kompletter Quelltext der millionenschwer EU-mitfinanzierten Webseite gdpr.eu öffentlich einsehbar

Da gehen Sie hin, unsere Steuergelder. Wenn private Schweizer Datenschutz-Firmen Millionen an EU Geldern erhalten würde man sich schon etwas mehr Ahnung von IT-Sicherheit bei diesen Unternehmen wünschen.

Lesedauer: 5 Minuten

Wer unseren Twitterkanal1)https://twitter.com/ITKSecurity verfolgt hat die Schlagzeile am Donnerstag schon gesehen. Die Webseite gdpr.eu2)https://gdpr.eu/ gibt Ratschläge zum Umgang mit der europäischen Datenschutzgrundverordnung DS-GVO (englisch „gdpr“). Es werden außerdem Tipps dazu gegeben, wie man die Datenschutzvorschriften am besten einhalten kann. LOL. Insofern eigentlich schade, dass die Seite nur auf englischer Sprache verfügbar ist, gäbe es doch bei den Übersetzungen der DS-GVO ganz entscheidende Unterschiede auf die es einzugehen gelte3)https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/ und bei einem aus EU Mitteln finanzierten System hätte man sich das eigentlich schon erhofft.

Der Betreiber der Seite, die Schweizer Firma Protonmail, wird nämlich aus EU Mitteln mitfinanziert. Sie entwickelt neben diesem Portal auch Systeme zum sicheren Nachrichtenaustausch und erhält dafür nicht unerhebliche finanzielle Beihilfen. So flossen beispielsweise letztes Jahr erst zwei Millionen Euro von der EU an Protonmail4)https://t3n.de/news/proton-technologies-die-schweizer-firma-bekommt-zwei-millionen-euro-von-der-eu-1149526/ zur Entwicklung sicherer Nachrichtendienste.

Nachdem schon DE-Mail in den Brunnen gefallen ist5)https://www.sueddeutsche.de/wissen/technik-de-mail-wartet-noch-auf-den-durchbruch-dpa.urn-newsml-dpa-com-20090101-190715-99-64772

Randnotiz: …sehen die Macher von DE-Mail zwar anders, schließlich gäbe es ja schon 1 Million DE-Mail Postfächer6)https://www.de-mail.info/mythen.html. Wie viele Steuergelder dafür verbrannt wurden, das ist höchst offiziell geheim7)https://netzpolitik.org/2015/de-mail-das-tote-pferd-wird-weitergeritten-wieviel-das-kostet-soll-geheim-bleiben/. Zum Vergleich: alleine nur der in Deutschland weit verbreitete Anbieter GMX zählt knapp 18 Millionen GMX Mail Benutzer. Von Google, web.de und Co. sowie firmeneigenen E-Mail-Servern und Hostingprovidern wie 1und1, HostEurope, Strato und Co. mal ganz abgesehen. Schauen wir auf europäische und internationale Ebene, nun, Microsoft zählte letztes Jahr bereits über 200 Millionen zahlende Kunden8)https://office365itpros.com/2019/10/24/office-365-hits-200-million-monthly-active-users/. Also nein, DE-Mail als „Erfolg“ zu verkaufen ist irgendwie nicht mit Zahlen zu belegen. 1 Million DE-Mail Postfächer ist eine Lachnummer und nichts weiter.

…jetzt also ein DE-Mail reloaded auf europäischer Ebene. Sozusagen EU-Mail. Klar, wieso nicht noch mehr Gelder ausgeben für die Entwicklung von Systemen, die wie wir in der Fachsprache zu sagen pflegen eigentlich ein „gelöstes Problem“ sind.

Protonmail rühmt sich heute damit, der „weltweit größte sichere E-Mail-Provider mit über einer Million Nutzern“9)https://protonmail.com/de/about zu sein. Komisch, exakt dieselbe Zahl gibt auch DE-Mail an. Soviel dazu.

Der aufmerksame Betrachter der Webseite gdpr.eu10)https://gdpr.eu/ stellt jedenfalls schnell fest, dass schon auf der Startseite so etwas wie Schleichwerbung für diese sicheren Dienste des eigentlichen Betreibers der Webseite – namentlich die schweizerische Firma Protonmail – untergebracht ist.

Quelle: Startseite von https://gdpr.eu/ am 2.5.202011)https://gdpr.eu/

Wer dem Link folgt, landet auf einem kostenpflichtigen Angebot der Firma Protonmail.

Quelle: Landingpage https://protonmail.com/signup am 2.5.202012)https://protonmail.com/signup

Es macht alles einen höchst offiziellen Eindruck, sieht nach einer Webseite der EU Kommission aus. Ist es aber nicht. Es ist ein privates Schweizer Unternehmen, das Millionengelder vom Steuerzahler erhält um dann seine eigenen privatwirtschaftlichen Dienste13)https://www.golem.de/news/bridge-protonmail-startet-lokalen-imap-server-fuer-verschluesselung-1712-131565.html teuer zu verkaufen.

Umso peinlicher erscheint der Zwischenfall von dieser Woche.

Sicherheitsforscher von Pentestpartners fanden heraus, dass die Schweizer bei Ihrem Portal einen Fehler machten14)https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/, der bereits 2013 für Schlagzeilen sorgte15)https://www.pentestpartners.com/security-blog/git-extraction-abusing-version-control-systems/.

Golem.de schreibt hierzu:

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der WordPress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die WordPress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für WordPress auch die Zugangsdaten zur MySQL-Datenbank enthält.

Quelle: https://www.golem.de/news/dsgvo-proton-vergisst-git-zugang-auf-datenschutzwebseite-2004-148199.html16)https://www.golem.de/news/dsgvo-proton-vergisst-git-zugang-auf-datenschutzwebseite-2004-148199.html

Trotz des immensen Umfangs öffentlich abrufbarer Daten sei es wohl nicht möglich gewesen, diese schadhaft zu verwenden. Die Sicherheitslücke sei außerdem schnell geschlossen worden.

Nichtsdestotrotz bleibt, wieder einmal, ein äußerst fader Beigeschmack. Steuermillionen werden einer Schweizer Firma für fragwürdige privatwirtschaftliche Softwareentwicklungen in den Hals geworfen und dann kommt am Ende so etwas dabei heraus. Dilettantismus in Reinform.

Die Stellungnahme von Protonmail hierzu ist so dürftig, dass wir sie hier in voller Länge zitieren möchten:

Thank you for the report. We do not keep any sensitive information there but our teams will look into this. We will get back you once we have additional info.

Quelle: https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/

Es ist nicht das erste Mal, dass sich das Schweizer Sicherheitsunternehmen nicht gerade mit Ruhm bekleckert.

Schon 2015 zahlte Protonmail Lösegeld an Erpresser, nachdem diese Protonmail-Dienste offline genommen hatten und die Spezialisten von Protonmail unfähig waren der Situation aus eigener Kraft wieder Herr zu werden17)https://www.nzz.ch/digital/protonmail-zahlt-erpressern-5800-franken-ld.2924. Schon damals ein Armutszeugnis18)https://www.computerworld.ch/business/forschung/protonmail-entschuldigt-loesegeldzahlung-1339586.html.

Immer wieder schön zu sehen, wo unsere Steuergelder hin fließen…

patrick.ruppelt