Zehntausende Webseiten von deutschen Unternehmen aber auch privat betriebene Internetseiten sind aufgrund einer fehlerhaften Konfiguration angreifbar. Das zeigten die Reporter*innen von NDR, „c’t“ und „Zeit“. Zuletzt identifizierte das IT-Dienstleistungsunternehmen „Deutsche Gesellschaft für Cybersicherheit GmbH“ (DGC) 41.000 Webseiten, die unzureichend vor Hackerangriffen geschützt sind. So werden zahlreiche Teile des Programmcodes, die hinter der Webseite stehen und nicht für die Öffentlichkeit bestimmt sind, für Angreifer zugänglich und ausnutzbar. Sogar Passwörter und sensible Daten geraten in einzelnen Fällen in die Hände der Cyber-Kriminellen.

Eine fehlerhafte Ordner-Freigabe erlaubt den Zugriff auf ein Archiv mit allen Versionen des Quellcodes der Webseite, diese werden auch Git-Repositories genannt. Die Codes machen Änderungen an der Software für Entwickler verständlich und dokumentierbar, sollten aber im Normalfall selbst vom Nutzer nicht einsehbar sein. Durch die Sicherheitslücke können die Dateien jedoch heruntergeladen sowie hinterlegte Passwörter und das Wissen über die Programmierung der Webseite ausgenutzt werden. Kennt der Hacker einmal den Quellcode, sind auch Phishing-Attacken, bei denen Internetseiten zur Täuschung des Users rekonstruiert werden, keine große Herausforderung mehr. Die Reporter*innen entdeckten außerdem hinterlegte Passwörter und Nutzernamen.

Der Analyse zufolge handelt es sich bei über 250 Betrieben mit betroffenen Webseiten um Unternehmen im Gesundheitsbereich – beispielsweise Kliniken. Doch auch Dax-Konzerne, Politiker oder Banken verfügen über derart falsch eingestellte Internetseiten. Andere wirken veraltet und lassen vermuten, dass sie nicht aktiv genutzt werden. Beispiele für betroffene Webseiten sind die von Lebensmittelhersteller Edeka, vom Versicherungskonzern Allianz, des Luftfahrt-Zulieferers MTU Aero Engines, der Hochschule für Angewandte Wissenschaften (HAW) in Hamburg und dem Studentenwerk Göttingen. Auf Rückfrage versicherten alle Genannten, die Lücke bereits geschlossen zu haben.

Wie kann ich herausfinden, ob meine Webseite betroffen ist?

Zunächst müssen Sie das .git-Verzeichnis aufrufen. Das geschieht, wenn Sie die Domain im Browser einsetzen und dahinter den Pfad eingeben (Beispiel: https://www.Meine-Domain.de/.git/HEAD). Folgt eine Fehlermeldung, so existiert der Pfad nicht im .git-Verzeichnis und Ihre Webseite leidet nicht unter der Sicherheitslücke. Lautet die Meldung aber zum Beispiel „ref: refs/heads/master“, dann sind Sie betroffen und sollten die Sicherheitslücke umgehend schließen, indem die Webserver entsprechend konfiguriert werden.