Datenbankpasswort und kompletter Quelltext der millionenschwer EU-mitfinanzierten Webseite gdpr.eu öffentlich einsehbar

Wer unseren Twitterkanal¹⁾https://twitter.com/ITKSecurity verfolgt hat die Schlagzeile am Donnerstag schon gesehen. Die Webseite gdpr.eu²⁾https://gdpr.eu/ gibt Ratschläge zum Umgang mit der europäischen Datenschutzgrundverordnung DS-GVO (englisch „gdpr“). Es werden außerdem Tipps dazu gegeben, wie man die Datenschutzvorschriften am besten einhalten kann. LOL. Insofern eigentlich schade, dass die Seite nur auf englischer Sprache verfügbar ist, gäbe es doch bei den Übersetzungen der DS-GVO ganz entscheidende Unterschiede auf die es einzugehen gelte³⁾https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/ und bei einem aus EU Mitteln finanzierten System hätte man sich das eigentlich schon erhofft.

Der Betreiber der Seite, die Schweizer Firma Protonmail, wird nämlich aus EU Mitteln mitfinanziert. Sie entwickelt neben diesem Portal auch Systeme zum sicheren Nachrichtenaustausch und erhält dafür nicht unerhebliche finanzielle Beihilfen. So flossen beispielsweise letztes Jahr erst zwei Millionen Euro von der EU an Protonmail⁴⁾https://t3n.de/news/proton-technologies-die-schweizer-firma-bekommt-zwei-millionen-euro-von-der-eu-1149526/ zur Entwicklung sicherer Nachrichtendienste.

Nachdem schon DE-Mail in den Brunnen gefallen ist⁵⁾https://www.sueddeutsche.de/wissen/technik-de-mail-wartet-noch-auf-den-durchbruch-dpa.urn-newsml-dpa-com-20090101-190715-99-64772…

Randnotiz: …sehen die Macher von DE-Mail zwar anders, schließlich gäbe es ja schon 1 Million DE-Mail Postfächer⁶⁾https://www.de-mail.info/mythen.html. Wie viele Steuergelder dafür verbrannt wurden, das ist höchst offiziell geheim⁷⁾https://netzpolitik.org/2015/de-mail-das-tote-pferd-wird-weitergeritten-wieviel-das-kostet-soll-geheim-bleiben/. Zum Vergleich: alleine nur der in Deutschland weit verbreitete Anbieter GMX zählt knapp 18 Millionen GMX Mail Benutzer. Von Google, web.de und Co. sowie firmeneigenen E-Mail-Servern und Hostingprovidern wie 1und1, HostEurope, Strato und Co. mal ganz abgesehen. Schauen wir auf europäische und internationale Ebene, nun, Microsoft zählte letztes Jahr bereits über 200 Millionen zahlende Kunden⁸⁾https://office365itpros.com/2019/10/24/office-365-hits-200-million-monthly-active-users/. Also nein, DE-Mail als „Erfolg“ zu verkaufen ist irgendwie nicht mit Zahlen zu belegen. 1 Million DE-Mail Postfächer ist eine Lachnummer und nichts weiter.

…jetzt also ein DE-Mail reloaded auf europäischer Ebene. Sozusagen EU-Mail. Klar, wieso nicht noch mehr Gelder ausgeben für die Entwicklung von Systemen, die wie wir in der Fachsprache zu sagen pflegen eigentlich ein „gelöstes Problem“ sind.

Protonmail rühmt sich heute damit, der „weltweit größte sichere E-Mail-Provider mit über einer Million Nutzern“⁹⁾https://protonmail.com/de/about zu sein. Komisch, exakt dieselbe Zahl gibt auch DE-Mail an. Soviel dazu.

Der aufmerksame Betrachter der Webseite gdpr.eu¹⁰⁾https://gdpr.eu/ stellt jedenfalls schnell fest, dass schon auf der Startseite so etwas wie Schleichwerbung für diese sicheren Dienste des eigentlichen Betreibers der Webseite – namentlich die schweizerische Firma Protonmail – untergebracht ist.

Wer dem Link folgt, landet auf einem kostenpflichtigen Angebot der Firma Protonmail.

Es macht alles einen höchst offiziellen Eindruck, sieht nach einer Webseite der EU Kommission aus. Ist es aber nicht. Es ist ein privates Schweizer Unternehmen, das Millionengelder vom Steuerzahler erhält um dann seine eigenen privatwirtschaftlichen Dienste¹³⁾https://www.golem.de/news/bridge-protonmail-startet-lokalen-imap-server-fuer-verschluesselung-1712-131565.html teuer zu verkaufen.

Umso peinlicher erscheint der Zwischenfall von dieser Woche.

Sicherheitsforscher von Pentestpartners fanden heraus, dass die Schweizer bei Ihrem Portal einen Fehler machten¹⁴⁾https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/, der bereits 2013 für Schlagzeilen sorgte¹⁵⁾https://www.pentestpartners.com/security-blog/git-extraction-abusing-version-control-systems/.

Golem.de schreibt hierzu:

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der WordPress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die WordPress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für WordPress auch die Zugangsdaten zur MySQL-Datenbank enthält.

Quelle: https://www.golem.de/news/dsgvo-proton-vergisst-git-zugang-auf-datenschutzwebseite-2004-148199.html¹⁶⁾https://www.golem.de/news/dsgvo-proton-vergisst-git-zugang-auf-datenschutzwebseite-2004-148199.html

Trotz des immensen Umfangs öffentlich abrufbarer Daten sei es wohl nicht möglich gewesen, diese schadhaft zu verwenden. Die Sicherheitslücke sei außerdem schnell geschlossen worden.

Nichtsdestotrotz bleibt, wieder einmal, ein äußerst fader Beigeschmack. Steuermillionen werden einer Schweizer Firma für fragwürdige privatwirtschaftliche Softwareentwicklungen in den Hals geworfen und dann kommt am Ende so etwas dabei heraus. Dilettantismus in Reinform.

Die Stellungnahme von Protonmail hierzu ist so dürftig, dass wir sie hier in voller Länge zitieren möchten:

Thank you for the report. We do not keep any sensitive information there but our teams will look into this. We will get back you once we have additional info.

Quelle: https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/

Es ist nicht das erste Mal, dass sich das Schweizer Sicherheitsunternehmen nicht gerade mit Ruhm bekleckert.

Schon 2015 zahlte Protonmail Lösegeld an Erpresser, nachdem diese Protonmail-Dienste offline genommen hatten und die Spezialisten von Protonmail unfähig waren der Situation aus eigener Kraft wieder Herr zu werden¹⁷⁾https://www.nzz.ch/digital/protonmail-zahlt-erpressern-5800-franken-ld.2924. Schon damals ein Armutszeugnis¹⁸⁾https://www.computerworld.ch/business/forschung/protonmail-entschuldigt-loesegeldzahlung-1339586.html.

Immer wieder schön zu sehen, wo unsere Steuergelder hin fließen…