Handelsblatt

MenüZurück
Wird geladen.

08.04.2016

11:01 Uhr

Panama Papers

Katastrophale IT-Sicherheit bei Mossack Fonseca

VonHauke Gierow
Quelle:Golem.de

Der Panama-Leaks-Firma Mossack Fonseca ist wohl nicht nur das Steuerrecht herzlich egal, sondern auch die IT-Security. Jedenfalls machte es das Unternehmen potenziellen Angreifern offenbar sehr leicht.

„Panama Papers“-Affäre

Cameron zu Briefkastenfirma: „Habe alle Steuern bezahlt“

„Panama Papers“-Affäre: Cameron zu Briefkastenfirma: „Habe alle Steuern bezahlt“

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

BerlinDas Unternehmen Mossack Fonseca hat offenbar gewaltig bei der IT-Sicherheit geschlampt – und könnte so zum massenhafte Abfluss der Dokumente über Briefkastenfirmen beigetragen haben. Darüber berichtet das Magazin Wired auf seiner Website.

Nach wie vor ist unklar, ob die Dokumente von einem Insider an Medien weitergegeben wurden oder ob es sich um einen Einbruch in die Computersysteme des Unternehmens handelt. Die IT des Unternehmens war aber offenbar so nachlässig konfiguriert, dass Angreifer leichtes Spiel gehabt hätten.

So benutzte das Unternehmen zum Zugriff auf die internen E-Mails eine veraltete Version von Outlook Web Access aus dem Jahr 2009, die seit 2013 nicht mehr mit Updates versorgt wurde. Eine PGP-Verschlüsselung der E-Mails fand ebenso wenig statt wie eine Transportverschlüsselung mit TLS, wie Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU schreibt.

Könige, Kicker, korrupte Politiker

Putins Umfeld

Aus dem Umfeld des russischen Präsidenten Wladimir Putin sollen bis zu zwei Milliarden Dollar (1,8 Milliarden Euro) über Mossack Fonseca ins Ausland geschafft worden sein. Das Geld kam von Präsidentenberatern und von Banken und Unternehmen mit Kreml-Verbindungen. Der Kreml verurteilte die Enthüllungen als „Informations-Attacke“.

Islands Ministerpräsident

Der isländische Ministerpräsident Sigmundur David Gunnlaugsson könnte über die Affäre stürzen: Noch in dieser Woche muss er sich einem Misstrauensvotum stellen. Gunnlaugsson und seine Frau haben während der Finanzkrise über die Panama-Kanzlei mehrere Millionen Dollar aus Investitionsgeschäften ins Ausland geschleust.

David Camerons und Xi Jingpings familiäre Umfelder

Die Spuren führen auch ins familiäre Umfeld zweier Staatsmänner, die sich besonders mit der Forderung nach Transparenz und Korruptionsbekämpfung profilierten: Der britische Premierminister David Cameron und Chinas Präsident Xi Jingping haben Angehörige, die in Verbindung zu einschlägigen Briefkastenfirmen standen.

Salman, Poroshenko und Sharif

Auch Saudi-Arabiens König Salman, Vertraute des ukrainischen Präsidenten Petro Poroshenko sowie Kinder des aserbaidschanischen Präsidenten Ilham Aliew und von Pakistans Premierminister Nawaz Sharif sind in den „Panama-Papers“ verzeichnet. Auch sie sollen Briefkastenfirmen betrieben haben.

Drogenbarone und Terrororganisationen

Als Kunden von Mossack Fonseca fanden sich die Staatsmänner in Gesellschaft notorischer Krimineller wieder: Die Kundenkartei verzeichnet Drogenbarone, Geschäftsmänner und Unternehmen mit Verbindungen zu terroristischen Organisationen und einen US-Geschäftsmann, der wegen Geschlechtsverkehrs mit Minderjährigen im Gefängnis saß. Er unterzeichnete den Vertrag mit der Kanzlei in der Zelle.

Lionel Messi

Fußball-Weltstar Lionel Messi und sein Vater legten sich über die Finanzkanzlei eine Strohfirma zu, die den spanischen Steuerbehörden bislang nicht bekannt war. Der frühere Uefa-Boss Michel Platini wandte sich 2007 mit der Bitte an Mossack Fonseca, eine Briefkastenfirma in Panama zu eröffnen.

Banken

Mehr als 500 Banken – unter ihnen renommierte Geldinstitute – arbeiteten seit den 70er Jahren mit Mossack Fonseca zusammen, um Briefkastenfirmen für Kunden zu managen. Die Schweizer Großbank UBS richtete auf diese Weise 1100 Briefkastenfirmen ein, die in London ansässige HSBC mehr als 2300.

Nicht viel besser sieht es bei der Webseite des Unternehmens und dem Kundenportal aus. Die Webseite selbst läuft auf einer drei Monate alten Version von Wordpress. Auch das auf Drupal basierende Kundenportal weist nach Einschätzungen von IT-Experten zahlreiche Sicherheitslücken auf, derzeit könnten 25 bekannte Schwachstellen attackiert werden. Über das Portal sollen Kunden „geschäftliche Informationen überall und allerorten“ einsehen können.

Angreifer hätten außerdem die Dateistruktur des Servers einsehen können, sagen Sicherheitsforscher. Teile des Backends können offenbar einfach aufgerufen werden, indem die URLs der betreffenden Seiten geraten werden.

Auch hier wurde das System im Jahr 2013 das letzte Mal aktualisiert. Außerdem ist das Portal für den Drown-Angriff verwundbar, mit dem eigentlich verschlüsselte Verbindungen geknackt werden können. Auch wenn diese Schwachstelle für einen Hack der Server zu spät entdeckt wurde, zeigt das Beispiel, dass das Unternehmen offenbar keinen großen Wert auf eine aktive und funktionierende IT-Abteilung legt.

In einer Mail an die Kunden widerspricht Mossack Fonseca der Insider-Theorie. Vielmehr sei das Unternehmen Ziel eines Hackerangriffs gewesen. Die veröffentlichten Dokumente seien aus dem Kontext gerissen worden. Aus diesem Grund habe das Unternehmen auch Strafantrag gestellt.

Der 2,6 TByte große Datensatz der Panama Papers enthält Informationen über 214.488 Offshore-Firmen. Die Informationen bestehen aus 4,8 Millionen E-Mails, 3 Millionen Datenbank-, 2,1 Millionen PDF- und 320.166 Textdateien.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×