Falsche Informationen mit offiziellem Charakter tauchen im Internet immer wieder auf. Dafür werden Internetangebote oft gefälscht und unter ähnlichem Namen in das Netz gesetzt. Doch es geht auch einfacher: Eine Sicherheitslücke bei Interpol macht es möglich, die Homepage für Falschinformationen zu missbrauchen.
von Michael Voß, MDR AKTUELL
Auf der Internetseite von Interpol ist ein bekanntes Gesicht zu sehen: Markus Ulbig, der sächsische Innenminister. Nach ihm werde gefahndet, heißt unterhalb des offiziellen Interpol-Logos.
Der sächsische Hacker Matthias Ungethüm klärt auf. Für Unternehmen versucht er, deren Internetseiten und Server anzugreifen, um zu testen, ob sie wirklich geschützt sind. Ab und zu testet er auch ungefragt – so auch bei Interpol, dem weltweiten Zusammenschluss der Polizeiorganisationen. Hier hat er eine Sicherheitslücke entdeckt. Dadurch können Falschmeldungen verbreitet werden. "Wir müssen noch nicht einmal eine Seite fälschen. Wir können alles direkt über die Website von Interpol verbreiten."
Klingt einfach – ist es auch
Das klingt so einfach. Und eigentlich ist es das auch. Es wird tatsächliche keine Seite gefälscht. Es wird auch keine Seite neu angelegt. Der Original-Link, der auf die Homepage führt, wird nur verlängert. Diese zusätzlichen Informationen sorgen dafür, dass die Seite beim Anzeigen umgebaut wird. Dieser Link lässt sich dann beispielsweise in einen Facebook-Artikel oder in eine E-Mail setzen, um ihn zu verbreiten. Ungethüm erklärt: "Man öffnet die E-Mail, hat einen Text drin stehen, klickt auf den Text und kommt direkt zur Interpolseite."
Die E-Mail hat den Vorteil, dass die Länge des Links nicht auffällt, weil sie durch den Text verborgen wird. Diese Lücke ist nur möglich, weil der Interpol-Server die ihm zugeschickten Links nicht ausreichend kontrolliert, sagt Matthias Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol."
Sicherheitslücke erst im Juli geschlossen
Welches Zeichen es ist, verrät Matthias Ungethüm nicht, damit es niemand ausprobiert. Denn durch diesen Trick kann jeder beliebige Inhalt auf die Seite gesetzt werden – auch ein virenverseuchter Trojaner zum Herunterladen. Das vermutet niemand auf der Interpol-Seite und wird kaum misstrauisch werden, wenn er sich dort beispielsweise ein Video anschauen will. "Wenn sich jetzt jemand für Interpol interessiert und will sich das Video auf der Webseite ansehen, dann kann ich natürlich sagen, ich schick denen jetzt den Link, und bei mir sieht es aber ganz anders aus. Bei mir kommt anstatt des Videos einfach ein Hinweis 'Um das Video abzuspielen müssen Sie ein Update von ihrem Videoplayer machen.' Und dann wird einfach ein Trojaner untergeschoben."
Matthias Ungethüm hat Interpol bereits am 30. Mai über das Sicherheitsproblem informiert. Doch die Lücke wurde erst einige Stunden nach der Veröffentlichung des MDR AKTUELL-Beitrages am Mittwochvormittag geschlossen.