MENU Schließen
Schließen

Git-Repository: Große Schwachstelle durch simple Fehlkonfiguration

Bei über 40.000 deutschen Webseiten hat die „Deutsche Gesellschaft für Cybersicherheit“ öffentliche Git-Repositorys entdeckt. Was lässt sich daraus lernen?

Die „Deutsche Gesellschaft für Cybersicherheit“ aus Flensburg hat fast sieben Millionen deutsche Webseiten auf öffentliche Git-Repositorys durchsucht. Bei über 40.000 war in deren Wurzelverzeichnis ein Repository zugänglich, darunter viele kleine Unternehmen und private Webseiten, aber auch der Versicherungskonzern Allianz. Entsprechend groß ist das Medienecho.

Wo liegt die Sicherheitslücke?

Welchen Fehler die Betreiber der betroffenen Webseiten begangen haben, ist auch für Laien einfach zu verstehen. Lehrreich ist der Fall, da es sich um eine prototypische Sicherheitsgefährdung handelt.

Was ist ein Git-Repository?

Git ist eine weit verbreitete freie Software zur Versionsverwaltung. Sie hilft Softwareentwicklern Änderungen an der Software leicht nachvollziehen und dokumentieren zu können. Im Git-Repository werden alle Versionen des Quellcodes der Webseite gespeichert. Es ist eine Art digitales Archiv.

Wo lag der Fehler?

Das Git-Repository sollte sich eigentlich nicht im Web-Root des Webservers befinden. Wenn doch, sollte der Webserver entsprechend konfiguriert werden, um einen Zugriff zu verhindern. Es handelt sich also nicht um eine komplizierte Sicherheitslücke in der Software Git, sondern einen einfachen Konfigurationsfehler.

Warum ist das gefährlich?

Wie sensibel die Daten im Git-Repository tatsächlich sind, hängt vom Einzelfall ab. Häufig befinden sich jedoch auch Konfigurationsdaten im Archiv und in einigen Fällen auch Zugangsdaten, wie Passwörter für Datenbankserver. In diesem Fall können auch Kundendaten betroffen sein.

Was bedeutet das für die Praxis?

IT-Sicherheit ist keine Raketenwissenschaft. Massive Sicherheitslücken entstehen oft durch Unachtsamkeiten: Fehlende oder unsichere Passwörter, veraltete Software oder, wie in diesem Fall, einfache Fehlkonfigurationen.

Der Zugriff auf das Git- Repository ist eine von Hunderten möglichen Sicherheitslücken, die durch Unachtsamkeiten entstehen. Um diesen Schwachstellen auf die Schliche zu kommen, helfen Softwarelösungen wie Enginsight.

Mit Enginsight lassen sich ganze IT-Infrastrukturen ganz einfach überwachen und testen. Um ein öffentlich erreichbares Git-Repository aufzudecken, aber auch eine Vielzahl von anderen Schwachstellen aufzudecken, kommt die Softwarekomponente Hacktor zum Einsatz. Mit ihr lassen sich automatisierte Penetrationstests durchführen.

Im Video erhältst du eine Kurzanleitung, wie du dazu vorgehst.

zum IT-Systemhaus Deutsche Gesellschaft für Cybersicherheit

Wie sicher ist deine IT?

Finde es noch heute heraus und erstelle dir einen kostenlosen Testaccount bei Enginsight!

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes