• Passwörter auslesbar bei einer Hochschule
• Passwort auslesbar
• Webseite gehackt
• Blog gehackt
• Webseite gehackt, am 12.1.

Wegen der Wordpress-Updates kam mir die Idee zu diesem Artikel. Hinzu kam, dass ich kurz danach noch die passende Meldung las: heise online schrieb, dass der Chaos Computer Club anlässlich seines Treffens einige Seiten auf Sicherheitslücken testete. Erstaunlich erfolgreich klappte es, einige Lücken zu finden, eine Übersicht gibt es auf der Seite events.ccc.de Markus hat aus der Not eine Tugend gemacht und das "gehackt werden" in einem Artikel verarbeitet. Mit etwas Verspätung ähnlich gelöst hat das Sebo Warum denn gleich alles aktualisieren, war doch gut bisher und "never change a running system"? Je nachdem was eine neue Version bietet, gibt es Gründe zügig zu aktualisieren oder auch nicht. Wurden neue Möglichkeiten, Verbesserungen und Verschönerungen eingebaut, dann überlege ich mir, ob es sich lohnt.Wenn jedoch Sicherheitslücken behoben wurden, dann gibt es für mich keinen Zweifel. Das Hauptproblem sind Skriptkiddies, die sich Anerkennung holen, indem sie möglichst viele Seiten hacken. (Skriptkiddies nennt man Jugendliche, die zwar kein tiefgreifendes Wissen haben, die jedoch manches mal ausprobieren. Hätten sie jemand, der ihnen sinnvolles Programmieren beibringt, wäre das sicher für einige von ihnen interessanter.) Je nachdem wie freundlich diese sind, entsteht mehr oder weniger großer Schaden. Seitenbetreiber, die vom CCC gehackt werden, haben meist noch Glück, wie auch die Gehackten teils berichten, sie bekamen viele Besucher und die Jungs und Mädels vom CCC zerstören nichts. Mehr als ein paar Bilder und Text, die auf den Kongress hinwiesen veränderten sie meist nicht. Der CCC hält sich an die ethischen Grundsätze des Hackens. Der CCC machte weitere Schlagzeilen, z.B. bei Golem mit dem Versuch, den Einsatz der Wahlcomputer für Hessen, per Gerichtsbeschluss stoppen zu lassen. Ich würde mich jedoch nicht bei allen Angreifern darauf verlassen... Eben das, ist auch das Ziel des CCC, dass sie aufmerksam machen möchten, welche Lücken dringend gestopft werden müssten. Jeder kann Wordpress mal eben installieren und einfach nutzen. Empfehlenswert ist das jedoch nicht, wenn man nicht plötzlich Inhalte im Blog haben möchte, die man nicht selbst erstellt hat. Eine absolute Garantie, dass eine Internetseite nicht gehackt werden kann, die gibt es nicht, egal wie man mit Sicherheit umgeht. Aber es gibt Möglichkeiten die Chance auf einen erfolgreichen Angriff zu minimieren. Einfacher zu schützen sind Webapplikationen, die nicht so verbreitet sind wie Wordpress. Eine unbekanntere Anwendung hat keine allgemein bekannten Sicherheitslücken, die man bei der jeweiligen Installation einfach nur durchprobiert. Wer bei so häufig genutzter Software wie Wordpress jedoch mit uralten Versionen unterwegs ist, keinerlei Hinweise auf Sicherheit beachtet, muss sich nicht wundern, wenn Angreifer problemlos ihre Inhalte einstellen können.