Archivium schließt Sicherheitslücke
Das Hilfsprogramm "SystemChecker.exe" wurde nach einem Bericht von ORF.at vom Netz genommen. Die Sicherheitslücke steckte nicht in der Urkundendatenbank, sondern an anderer Stelle des Systems. Der Programm-Download durch Anwaltskanzleien via Marketing-Website erfolgte unverschlüsselt und unsigniert.
"Wir haben den SystemChecker bereits vom Netz genommen. Dieses Programm wurde ja nur in der Anfangsphase des Projekts gebraucht", sagte Wolfgang Maurizio Heufler, einer der Geschäftsführer der Urkundendatenbank Archivium, in Reaktion auf einen Artikel in ORF.at vom Dienstag.
Man habe dieses Programm, das ausschließlich zur Überprüfung diene, ob ein Anwaltscomputer zur Einspielung der eigentlichen Software geeignet sei, ohnehin per Post im Frühjahr an alle Anwaltskanzleien gesandt.
Die gezippte "SystemChecker.exe"-Datei wurde erst später als Back-up für all jene Kanzleien ins Netz gestellt, in denen die CD nicht mehr auffindbar war.
MySQL-Port ebenfalls zu
Ebenso werde der offene MySQL-Port auf dem Server der Website Archivium.at umgehend geschlossen, erläuterte Markus Schaffhauser, Geschäftsführer Nummer zwei.
Beide legen naturgemäß besonderen Wert darauf, dass diese - bereits behobenen - Sicherheitsprobleme nur die Unternehmensinformationsseite der Archivium Dokumentenarchiv GmbH betreffe, die an sich nur "Pressemeldungen, Termininformationen und Begleittexte" für Anwälte enthält.
Urkundenarchiv nicht betroffen
Das "hochsichere anwaltliche Urkundenarchiv" werde "im nach höchsten Sicherheitsstandards zertifizierten Siemens-Rechenzentrum betrieben", heißt es im Schreiben von Archivium an ORF.at.
"Urkunden werden ausschließlich sicher signiert, verschlüsselt - sowohl auf Transportebene via HTTPS als auch von der Applikation - und sind selbst dem Betreiber Siemens unter keinen Umständen einsehbar. Zur Signaturerstellung dürfen demnach nur eigens ausgestellte Anwaltsausweiskarten mit qualifiziertem Anwaltszertifikat verwendet werden."
Die Lücke "davor"
Tatsächlich eröffnete sich die Sicherheitslücke - wie so oft, wenn mehrere Applikationen und Unternehmen in einen Prozess eingebunden sind - gewissermaßen "vor" der eigentlichen Applikation, dem hochsicheren Urkundenarchiv.
Wer sich von der Informationspage Archivium.at, SystemChecker.exe heruntergeladen hatte, um den für die hochsichere Software vorgesehenen Rechner zu testen, verletzte die Kette der Sicherheit.
Der kritische Prozess
Von einer Website, die ungenügend gegen Angriffe abgesichert war, konnte man über eine unverschlüsselte Verbindung den besagten SystemChecker herunterladen, der obendrein auch nicht signiert, also nicht auf Echtheit überprüfbar war.
Diese Dateien sollten ausgerechnet auf Anwaltsrechnern zum Einsatz kommen, die dazu vorgesehen sind, hochsensible Daten wie Gesellschafterverträge, Heirats- und Scheidungsurkunden und dergleichen zu verschlüsseln, zu signieren und zu verwalten.
Gezippt, vom ".exe"-Typ
In Zeiten, in denen gerne über Schadsoftware wie Trojaner diskutiert wird - die landläufige Version ist überdies eine gezippte Datei vom ".exe"-Typ - ist derlei natürlich nicht anzuraten.
SystemChecker - gecheckt
Auf Hinweis von ORF.at haben zwei namhafte Sicherheitsexperten den auf der Archivium-Infosite erhältlichen SystemChecker überprüft. Das Programm selbst enthielt nur jene Funktionen, die der SystemChecker laut Beschreibung bei Archivium.at bieten sollte. Problematisch war nicht das Programm selbst, sondern die Art, wie es über das Netz übertragen wurde.
Die befragten Experten bemängelten weiterhin, dass die vom "SystemChecker" auf dem Testrechner erhobenen Daten unverschlüsselt an die Archivium-Betreiber zurückgegangen waren.
(futurezone | Erich Moechel)