Liebe 20 Minuten

Am 7. April 2016 wurde Shadware auf dem Portal von 20 Minuten entdeckt, gemäss Alexa eine der beliebtesten Seiten der Schweiz. Die daraufhin verfasste Stellungnahme von 20 Minuten war mein Aufreger dieser Woche und Grund für diesen offenen Brief.

Liebe 20 Minuten

Ich bin leider kein grosser Fan des Newsportals. Das Webangebot entspricht leider schon lange nicht mehr dem Stand der heutigen Webtechnologien und auch die Inhalte kompensieren das für mich nicht.
Deshalb erfuhr ich heute eher zufällig über Drittmedien, dass auf eurem Server Shadware entdeckt wurde. Auf diese Meldung hin wollte ich mich natürlich aus erster Hand erkundigen, was genau passiert ist. Dabei fand ich folgendes Statement:

Etwa 20 bis 50 Mal pro Tag werden die Server von 20 Minuten von Unbekannten angegriffen. Etwa alle drei Monate gelingt es einem Hacker in das System einzudringen.

Alle drei Monate?! Ernsthaft? Bei einem der meistbesuchten Server der Schweiz? Irgendetwas in mir ist gerade gestorben. Wenn wirklich regelmässig alle paar Monate ein paar Besucher Shadware ausgesetzt werden ist es fahrlässig, die Plattform ohne weiteres weiterzubetreiben. Wenn einem die Gefahr bewusst ist, muss man doch in die Infrastruktur investieren, um die Angriffe abzuwehren! Das man als beliebtes Newsportal oft angegriffen wird, damit muss man rechnen. Natürlich kann es sein, das einmal die Schutzbarirren überwunden werden, aber dann sollten präventive Massnahmen greifen, um den Schaden gering zu halten. Aber «alle drei Monate» klingt für mich, als könnte da praktisch jeder rein und raus.

Von einer Stellungsnahme hätte ich erwartet, dass sich die verantwortlichen für das Malheur bei den Lesern entschuldigen und nun konkrete Vorkehrungen getroffen werden. Ich zitiere aus den eigenen Datenschutzrichtlinien:

Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmassnahmen, um Ihre bei uns gespeicherten persönlichen Daten gegen unbeabsichtigte, rechtswidrige oder unberechtigte Manipulation, Löschung, Veränderung, Zugriff, Weitergabe oder Benutzung und gegen teilweisen oder vollständigen Verlust zu schützen. Unsere Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst und verbessert.

Ziel nicht erreicht.

Leider sind (noch) keine Details bekannt, aber offensichtlich wurde über das Flash-Plugin unbemerkt Shadware auf den Computer geladen. In diesem Beitrag finden sich einige Tipps, wie man einen solchen Angriff mittels Content Security Policy hätte verhindern können. Auch sind Flash-Plugins eine veraltete und unsichere Technologie, die generell nicht mehr eingesetzt werden sollen.

20 Minuten ist damit leider nicht alleine. Allgemein wird die Informationssicherheit immer noch viel zu oft vernachlässigt. Meistens sind finanzielle Gründe die Ausrede oder man schiebt die Schuld auf externe Werbenetzwerke, die man jedoch selber auf der Seite einbindet.

Hoffentlich werden die Konsequenzen aus dem Vorfall gezogen und das Portal ab jetzt wirklich an die gegenwärtigen Standards angepasst, so wie es die eigene Richtlinie vorschreibt. Tamedia sollte auch gleich ihre anderen Portale unter die Lupe nehmen, viele davon habe die selben Mängel.

Update:

Offensichtlich hat Tamedia zu Früh Entwarnung gegeben und die Shadware war auch noch am Folgetag aktiv.
Dieser Artikel bringt es ziemlich genau auf den Punkt.

Update:

Nur wenige Tage später verteilte 20 Minuten erneut Shadware, diesmal über ein externes Werbenetzwerk.