Die „Deutsche Gesellschaft für Cybersicherheit“ aus Flensburg hat fast sieben Millionen deutsche Webseiten auf öffentliche Git-Repositorys durchsucht. Bei über 40.000 war in deren Wurzelverzeichnis ein Repository zugänglich, darunter viele kleine Unternehmen und private Webseiten, aber auch der Versicherungskonzern Allianz. Entsprechend groß ist das Medienecho.
Wo liegt die Sicherheitslücke?
Welchen Fehler die Betreiber der betroffenen Webseiten begangen haben, ist auch für Laien einfach zu verstehen. Lehrreich ist der Fall, da es sich um eine prototypische Sicherheitsgefährdung handelt.
Was ist ein Git-Repository?
Git ist eine weit verbreitete freie Software zur Versionsverwaltung. Sie hilft Softwareentwicklern Änderungen an der Software leicht nachvollziehen und dokumentieren zu können. Im Git-Repository werden alle Versionen des Quellcodes der Webseite gespeichert. Es ist eine Art digitales Archiv.
Wo lag der Fehler?
Das Git-Repository sollte sich eigentlich nicht im Web-Root des Webservers befinden. Wenn doch, sollte der Webserver entsprechend konfiguriert werden, um einen Zugriff zu verhindern. Es handelt sich also nicht um eine komplizierte Sicherheitslücke in der Software Git, sondern einen einfachen Konfigurationsfehler.
Warum ist das gefährlich?
Wie sensibel die Daten im Git-Repository tatsächlich sind, hängt vom Einzelfall ab. Häufig befinden sich jedoch auch Konfigurationsdaten im Archiv und in einigen Fällen auch Zugangsdaten, wie Passwörter für Datenbankserver. In diesem Fall können auch Kundendaten betroffen sein.
Was bedeutet das für die Praxis?
IT-Sicherheit ist keine Raketenwissenschaft. Massive Sicherheitslücken entstehen oft durch Unachtsamkeiten: Fehlende oder unsichere Passwörter, veraltete Software oder, wie in diesem Fall, einfache Fehlkonfigurationen.
Der Zugriff auf das Git- Repository ist eine von Hunderten möglichen Sicherheitslücken, die durch Unachtsamkeiten entstehen. Um diesen Schwachstellen auf die Schliche zu kommen, helfen Softwarelösungen wie Enginsight.
Mit Enginsight lassen sich ganze IT-Infrastrukturen ganz einfach überwachen und testen. Um ein öffentlich erreichbares Git-Repository aufzudecken, aber auch eine Vielzahl von anderen Schwachstellen aufzudecken, kommt die Softwarekomponente Hacktor zum Einsatz. Mit ihr lassen sich automatisierte Penetrationstests durchführen.
Im Video erhältst du eine Kurzanleitung, wie du dazu vorgehst.
zum IT-Systemhaus Deutsche Gesellschaft für Cybersicherheit
Wie sicher ist deine IT?
Finde es noch heute heraus und erstelle dir einen kostenlosen Testaccount bei Enginsight!
