Loch in der Anwaltsdatenbank
Für Windows-Rechner, die mit der "hochsicheren" Urkundendatenbank Archivium in Verbindung stehen werden, wird eine Testsoftware zum Download für Rechtsanwälte angeboten. Dabei wird weder verschlüsselt noch signiert, die Systemanalyse wird ebenso offen über das Netz zurückgeschickt.
Das Urkundensystem Archivium wird in Zukunft die wichtigsten Urkunden österreichischer Bürger beinhalten, die eingescannt und verschlüsselt abgespeichert werden: von der Heiratsurkunde bis zum Universitätsdiplom alles, was offiziellen Status hat.
Bei der Pressevorführung des neuen Dokumentenarchivsystems für österreichische Rechtsanwälte wurde am Dienstag besonders die Sicherheit des Systems betont.
"Verschlüsselungstechnologie bester Güte"
Um dieses elektronische Lager der wichtigsten Dokumente von Staatsbürgern abzusichern, werde "Verschlüsselungstechnologie der besten Güte" verwendet, sagte Wolfgang Maurizio Heufler, Geschäftsführer von Archivium, bei der Präsentation.
"Zutrittssicherheit und Vertraulichkeit" des Systems betonte Albert Felbauer, Bereichsleiter des Mitbetreibers Siemens IT Solutions and Services. Die verschlüsselten Dokumente könnten nur von Befugten abgerufen werden, die der Klient zudem selbst festlege.
Best Practice Award
Auf der Website des Unternehmens wird aufgeführt, dass Archivium am 1. Juli dieses Jahres den Echtbetrieb aufgenommen hat, dabei aber bereits mit einem Best Practice Award der EU-Justizminister und dem ersten Preis der diesjährigen ebiz egovernment awards der Plattform Digitales Österreich ausgezeichnet wurde.
So weit, so sicher.
SystemChecker.exe, gezippt
Den über 5.000 österreichischen Rechtsanwälten empfiehlt Archivium jedoch, zum Test jenes Windows-Rechners, auf dem danach "Verschlüsselungstechnologie der besten Güte" laufen soll, eine Datei herunterzuladen.
Dieses Client-Prüfprogramm, mit dem die Systemvoraussetzungen für die Software des Urkundenarchivs überprüft werden, heißt SystemChecker.exe und ist verpackt als .zip.
"Http" statt "https"
In Zeiten, in denen im Internet allenthalben Trojaner auf gefälschten Websites lauern, wird der Download nicht etwa sicher und überprüfbar via "https" wie beim Internet-Banking, sondern als einfaches "http" über Port 80 durchgeführt.
Dazu trägt die Datei selbst offensichtlich keine digitale Signatur, durch die versiertere Benutzer überprüfen könnten, ob diese Datei tatsächlich von Archivium stammt. Von ORF.at dazu befragte Fachleute konnten keine Dateisignatur entdecken, sondern nur einen Urheberrechtsverweis auf die Firma Siemens.
CompanyName: SIEMENS AG ÖSTERREICH
FileDescription: SystemChecker 8
FileVersion: 1, 0, 0, 28
InternalName: SystemChecker LegalCopyright: Copyright (C) 2007 OriginalFilename: SystemChecker.exe ProductName: SystemChecker ProductVersion: 1, 0, 0, 28
Port 3306 MySQL offen
Ein einfacher Port-Scan auf dem Webserver von Archivium legte hingegen offen, dass Port 3306 für die Datenbank MySQL offen ist.
Vor allem in Kombination mit der verwendeten Skriptsprache PHP handelt es sich dabei um eines der beliebtesten Angriffsziele auch weniger bedarfter Einbrecher in spe.
Vor etwa einem Monat hatten die Sicherheitsexperten von MITRE.org eine MySQL-Sicherheitslücke namens Remote System User Deterministic Unauthorized Access veröffentlicht.
Der Checker, der Trojaner
Ein zugehöriger Exploit würde Böswilligen Kontrolle über das System verschaffen - samt "Information Exposure".
Einen beliebigen Trojaner dann SystemChecker.exe zu benennen und zum Download anzubieten, wäre der nächste, logische Schritt. Der Angreifer könnte sich jedenfalls dabei sicher sein, dass er einen Rechner in einem Anwaltsbüro erwischt.
Seit vier Monaten Echtbetrieb
All das zusammen befanden die von ORF.at befragten Experten keineswegs als "Best Practice".
Wie auch den Umstand, dass der SystemChecker die Ergebnisse seiner Analyse wiederum im Klartext an Archivium schickt. etwas beunruhigend ist, dass das System nach Angaben seiner Betreiber beinahe vier Monate im Echtbetrieb läuft.
Von den Betreibern war zu Redaktionsschluss dieses Artikels am Dienstag um 16.30 Uhr niemand mehr zu erreichen. Eine schriftliche Anfrage läuft, um eine Stellungnahme einzuholen.
(futurezone | APA | Erich Moechel)