Der britische Geheimdienst GCHQ versucht mit einem Hackerwettbewerb Fachleute anzuwerben. Die Spreu soll mit unterschiedlichen Spielen vom Weizen getrennt werden. Vor allem soll überprüft werden, über welches technische Wissen die Bewerber verfügen und natürlich auch, ob sie teamfähig sind. Der Penetrationstester Matthias Ungethüm aus dem sächsischen Geringswalde hat sich die Webseite des Hackerwettbewerbs genauer angeschaut. Er findet die Spiele langweilig, die Sicherheitslücken des Geheimdienstes sind deutlich spannender. Aufgrund mehrerer Lücken wäre es ihm möglich gewesen, die Identität aller Teilnehmer zu entlarven. 007 auf Abwegen? Wie gut steht es beim britischen Geheimdienst um den Datenschutz? Wir haben mit dem IT-Sicherheitsexperten Ungethüm deswegen kürzlich telefoniert.

Die Geheimdienste der kooperierenden Five-Eyes-Staaten USA, Großbritannien, Australien, Kanada und Neuseeland sind ständig auf der Suche nach Nachwuchs. In regelmäßig organisierten Hackerwettbewerben sollen vor allem Interessenten mit einem tiefen technischen Verständnis angeworben werden. Matthias Ungethüm hat sich die Webseite vom Cyber Security Challenge UK einmal genauer angeschaut und traute seinen Augen nicht.

Aufgrund der zahlreichen Lücken, die dort existieren, könnte man die persönlichen Angaben aller 20.000 registrierten Teilnehmer einsehen. Das Problem: Die Webseite gibt spezielle Fehlermeldungen zurück, die den genauen Aufbau der Datenbank offenbart. So gelang er im ersten Schritt an die Teilnehmernummer (ID) eines jeden Hackers. Danach konnte er alle weiteren Daten abfragen, die die Teilnehmer bei der Anmeldung eingegeben haben. Effektiver Datenschutz sieht wahrscheinlich etwas anders aus.

Am 14. Oktober 2014 kontaktierte Ungethüm die Betreiber der Cyber Security Challenge – die E-Mail liegt im Original vor. Er fragte den Geheimdienst im Anbetracht der vielen Schwachstellen innerhalb der Datenbank, worin denn bitte die Herausforderung bestehen soll. Nach einer ausführlichen Darstellung aller Probleme schrieb er den Betreibern, er hoffe, dass die Lücken möglichst bald geschlossen werden. Zudem warnte er, bösartige Hacker könnten ohne größere Probleme die Registrierung komplett zum Absturz bringen. Auch ein Zugriff auf weitere Bereiche des Webservers wären möglich.

Die Warnung ging wohl ins Leere, die Lücken können noch immer ausgenutzt werden. Nicht eine der vielen Sicherheitslücken wurde zwischenzeitlich geschlossen. Auf seine E-Mail hat er zudem bis heute keine Antwort erhalten. Ungethüm hatte angeboten, den Technikern bei Bedarf weitere Details zu liefern. Daran besteht offenbar kein Interesse. An monetären Mitteln dürfte es zumindest nicht scheitern, die Veranstaltung wird von mehreren Rechtsanwaltskanzleien, Universitäten, diversen privaten Unternehmen und weiteren staatlichen Behörden finanziell unterstützt.

Alle Details bezüglich der Sicherheitslücken liegen uns ungekürzt vor. Diese werden aber aus Sicherheitsgründen nicht veröffentlicht. Ansonsten könnten noch mehr Hacker die Aufforderung „HackIT“ falsch verstehen. Dazu kommt: Nicht jeder Datenschützer macht sich die Mühe, den Webseitenbetreibern eine E-Mail zu schicken und weitere Unterstützung anzubieten.

Bildquellen: Mike Licht (CC BY 2.0), Alexandre Dulaunoy (CC BY-SA 2.0).

Die Erstveröffentlichung dieses Beitrags fand letztes Jahr auf Stern.de statt.

Video: Ungethüm findet, Hacken ist ein Lebensgefühl und keine reine Ansammlung von Wissen.