Der DJV‐Portal-Hack

VON Dr. Wolf SiegertZUM Donnerstag Letzte Bearbeitung: 14. März 2015 um 01h15min

 

Nachfolgend zunächst einige Zeilen in einer verbandseigenen Sache:

I.

Die DJV-Homepage www.djv.de ist Ziel eines Hackerangriffs geworden. Dabei ist es den Tätern gelungen, in das Content Management System (CMS) des DJV-Auftritts einzudringen. Zu besonders sensiblen Mitgliederdaten wie etwa der Kontoverbindung hatten die Täter keinen Zugang, da diese Daten nicht im CMS des DJV-Bundesverbands verwaltet werden. Nicht ausgeschlossen werden kann allerdings, dass die Täter Adressdaten der DJV-Mitglieder erhalten konnten, die für die Nutzung des Intranets erforderlich sind. Im DJV-Intranet können die Mitglieder auf Wunsch ihr persönliches Profil präsentieren oder weitere Serviceleistungen in Anspruch nehmen. Nutzer, die ihr Passwort für das DJV-Intranet auch in anderen Plattformen verwenden, sollten es aus Sicherheitsgründen ändern. Die wichtigsten Fragen und Antworten hat der DJV in einer FAQ-Liste zusammengestellt.

Hier ist der Text dieser "FAQ-Liste" :

FAQ zum Angriff auf das DJV‐Portal

Worum geht es?

Unbekannte haben das Content‐Management‐System (CMS) des Webauftritt djv.de angegriffen und sich Zugang zur
Administration des Systems verschafft.

Wer sind die Täter?

Sowohl die Täter als auch ihre Motive sind unbekannt. Die Angreifer wollten wahrscheinlich das CMS nutzen, um
darüber Werbung für Produkte zu verbreiten.

Können die Angreifer an sensible Mitgliederdaten gelangt sein?

Dieser Internetauftritt betrifft nur die Web‐Informationen des DJV. Die Mitgliederdatenbank mit sensiblen
Informationen wie Kontodaten ist dabei nicht betroffen, eine solche zentrale Datenbank gibt es gar nicht. Die
Mitgliederverwaltung erfolgt in den DJV‐Landesverbänden und nicht über das CMS. Auch die Kommunikation mit
den Mitgliedern per Mail ist nicht betroffen, da diese keinerlei Verbindung mit dem CMS hat.

Welche Daten können dennoch rein theoretisch betroffen sein?

Die Angreifer können rein theoretisch die Daten erhalten haben, die von den Mitgliedern für die Einwahl ins Intranet
genutzt werden (Nutzername, Passwort) und die zu dieser Identifikation erforderlichen Adressdaten. Ebenso könnte
es sein, dass die Kontodaten von Kunden der DJV‐Verlags‐ und Service‐GmbH, die ebenfalls zum Auftritt gehört,
erlangt worden sind; diese Kunden sind bereits per Post informiert worden.

Gibt es Anzeichen dafür, dass Daten durch die Täter gebraucht/gehandelt werden?

Es gibt derzeit keine Anzeichen dafür, dass es zu einem Abgriff der genannten Daten gekommen ist. Auf Grund der
Umstände wird dieses Szenario für unwahrscheinlich gehalten, wenn es natürlich auch nicht ausgeschlossen werden
kann.

Was muss/kann ich tun?

Alle Passwörter für das Intranet sind zurückgesetzt worden. DJV‐Mitglieder werden gebeten, in der Service‐Leiste
oben links die Funktion „Neues Passwort anlegen“ zu nutzen. Darüber hinaus: Sollten Sie das gleiche Passwort für
andere Webdienste eingesetzt haben, sollten Sie es dort natürlich auch zurücksetzen. Generell sollten Sie nie mit ein
und demselben Passwort bei verschiedenen Internetdiensten unterwegs sein.

Was unternimmt der DJV für die Datensicherheit unter djv.de?

Der DJV arbeitet mit professionellen Internetdienstleistern zusammen, von denen die erforderlichen
Sicherungsmaßnahmen eingeleitet wurden. Allerdings kann bei der Arbeit mit CMS und Websoftware nie
ausgeschlossen werden, dass Angreifer noch nicht bekannte Sicherheitslücken ausnutzen. Daher setzt der DJV
darauf, so wenige Daten wie möglich in seinem Netzauftritt unterzubringen. Aus diesem Grund werden auch die
Mitgliederdaten der Landesverbände nicht über das CMS verwaltet.

Wer überwacht die Datensicherheit im DJV, an wen kann ich mich bei Beschwerden wenden?

Der DJV hat einen Datenschutzbeauftragten, der unter dsb@djv.de erreichbar ist.

Ich habe noch weitere Fragen zum Angriff. An wen kann ich mich wenden?

Bitte wenden Sie sich dazu an das DJV‐Referat Presse‐ und Öffentlichkeitsarbeit, das alle Fragen gerne beantwortet:
djv@djv.de.

Hier der Hinweis auf die entsprechende Meldung auf den Seiten des DJV-Berlin vom 11. März 2015:
Hackerangriff auf den DJV-Bundesverband
Dort ist im letzten Absatz zu lesen:

Die Website des DJV-Bundesverbandes läuft ausweislich des Seitenquelltextes auf der Version 4.5 des weit verbreiteten Content-Management-Systems "TYPO3". Diese Version wurde von Januar bis Oktober 2011 herausgegeben. Offizielle Sicherheits-Updates für diese Version gibt es plangemäß nur noch bis zum kommenden Monat.


4518 Zeichen