Typo3-Sicherheitslücke

Wie Hacker die Schalke-04-Website manipulierten

12.02.2009
Unter Experten war die Sicherheitslücke in "Typo3" bereits bekannt, doch die Verantwortlichen für den Internet-Auftritt des Bundesligavereins Schalke 04 hatten bis zum Mittwochabend noch nicht reagiert.

Daher mussten die Hacker keine großen Hürden überwinden, als sie während der 0:1-Länderspielpleite Deutschland - Norwegen die Homepage des Vereins manipulierten und eine Falschmeldung über eine Entlassung des ehemaligen Nationalspielers Kevin Kuranyi lancierten.

Gehackt: Die Homepage von S04
Gehackt: Die Homepage von S04

Die Website von Schalke 04 wird mit dem Content Management System (CMS) Typo3 betrieben. Am Dienstag berichteten Fachdienste wie "heise Security", dass in dem populären Softwarepaket eine Schwachstelle dafür sorgt, dass Hacker auf beliebige Daten auf einem Webserver zugreifen können. Diese Daten sind sonst eigentlich nicht zugänglich. Damit konnten die unbekannten Hacker das Zugangspasswort zur Schalke-Website erlangen und die Falschmeldung platzieren. Die Sicherheitslücke hätte durch eine rasche Aktualisierung des Systems geschlossen werden können. Der entsprechende Patch stand bereits am Dienstag zur Verfügung .

Am Mittwochmorgen hatten unbekannte Web-Vandalen die Sicherheitslücke schon ausgenutzt, um die Homepage des CDU-Politikers Wolfgang Schäuble zu manipulieren. Sie versahen die Schäuble-Website mit einem Link auf Kritiker der umstrittenen Gesetzes zur Vorratsdatenspeicherung. Das Webangebot von Schäuble wurde ebenfalls mit Typo3 gestaltet.

Die Lücke in Typo3 war seit Dienstag bekannt - und behoben.
Die Lücke in Typo3 war seit Dienstag bekannt - und behoben.

Typo3 ist ähnlich wie das freie Betriebssystem Linux eine quelloffene Software. Das System wird von einer Gemeinschaft von Programmierern in aller Welt ständig weiter entwickelt und gewartet. Zahlreiche Agenturen nutzen Typo3, um für ihre Kunden Websites zu erstellen. So läuft beispielsweise die Homepage des Handels- und Touristikkonzerns REWE Group auf Typo3. (dpa/tc)