Sicherheitslücke beim pc_met Metrologie-Dienst des Deutschen Wetterdienstes (DWD)

Stand der Digitalisierung in Deutschland

Hier: Sicherheitslücke beim pc_met Metrologie-Dienst www.flugwetter.de des Deutschen Wetterdienstes (DWD)

Autor: Dipl.-Ing. Thomas Käfer, M.Sc. – 05.08.2024

Als Pilot der allgemeinen Luftfahrt ist man verpflichtet, vor jedem Flug eine sorgfältige Flugplanung durchzuführen. Zur Flugvorbereitung gehört insbesondere, dass man sich über die Wetterbedingungen auf der geplanten Flugstrecke informiert.

Nun ist der Autor nicht nur Privat-Pilot (mittlerweile mit einer gültigen PPL(A) Lizenz mit Musterberechtigung für einmotorige Flugzeuge mit einer MTOW von max. 2 to) sondern auch Fachmann für IT-Security und Datenschutzthemen.

So kam es, dass er sich im Rahmen der seinerzeit noch laufenden Pilotenausbildung am 04.04.2024 ein Benutzerkonto beim Deutschen Wetterdienst zulegte und den kostenpflichtigen Wetterdienst „pc_met“ buchte. Der Deutsche Wetterdienst (Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Digitales und Verkehr) stellt im Rahmen seiner gesetzlichen Aufgaben meteorologische Informationen im Selfbriefing-System „pc_met Internet Service“ (www.flugwetter.de) zur Verfügung.

Mit großer Verwunderung hat der Autor dann den Registrierungsvorgang für ein Jahresabo Flugwetter.de (pc_met) abgeschlossen. Das erste Wunder: Bei der Bestellung sollte ein achtstelliges Passwort ohne Umlaute und Sonderzeichen angegeben werden.

In der Maske wurde es als „Wunschpasswort“ tituliert, was den Eindruck erwecken könnte, dass man es später ändern könnte. Weit gefehlt.

Die Eingabe einer reinen Zahl, wie hier exemplarisch „12345678“, wurde problemlos akzeptiert.

Das entspricht alles nicht gängigen Sicherheitsstandards. Nach heutigem Stand beträgt die Mindestlänge eines Passwortes 8 Zeichen (eher mehr) und sollte nicht auf diese Anzahl maximal beschränkt sein. Gerade durch das Einbauen von Sonderzeichen wird die Kennwortsicherheit erheblich gestärkt. Zudem sind Buchstaben in Groß- und Kleinschreibung und Zahlen gemischt zu verwenden und moderne Portale prüfen so etwas vorab, bevor sie die Verwendung eines schwachen Passwortes überhaupt zulassen. Anschließend wird jedoch nicht das Passwort im Klartext, sondern immer nur ein sogenannter HASH-Wert davon im System gespeichert, gegen den das nachher vom Nutzer eingegebene Passwort abgeglichen wird. Der HASH verhindert (richtig implementiert), dass das gespeicherte Kennwort in Klartext zurückgewandelt werden kann. Grundsätzlich gilt: Je länger das Passwort, umso sicherer. Und die Kontosicherheit steht und fällt mit der Absicherung der Website gegen Brute-Force-Attacken. Wird das systematische Durchprobieren des 8-stelligen Zeichenvorrats konsequent eingedämmt, dann ist die Gefahr gering. Aber ob dem so ist, könnte nur ein Penetration-Test zeigen, für den der Autor weder die Legitimierung noch die Lust hat, auch das noch unentgeltlich zu prüfen.

Zurück zum Registrierungsprozess: Des Weiteren war eine Mobilfunknummer für die Übermittlung des Passwortes anzugeben. Das macht wiederum stutzig. Eine Mobilfunknummer als zweiter Faktor bei einem Multi-Faktor-Authentifizierungsprozess ist üblich und eine gute Idee, aber warum wird hier ein Passwort im Klartext übermittelt? Vor allem, wo man es doch selbst als Wunschpasswort angeben muss? Das Mitlesen von SMS ist zwar deutlich schwieriger als bei E-Mais, aber man versendet hierüber höchstens Einmal-Passwörter oder temporäre Codes als zweiten Faktor bei einem Login.

Anmeldemaske DWD pc_met

Aber es kommt noch „besser“. Zunächst wurde vor Absenden des Warenkorbes noch die Mobilrufnummer für die Kennwortübermittlung wiederholt dargestellt. So weit – so gut.

Bestellbestätigung pc_met

Dann der Hammer. Das zuvor gewählte Passwort wurde nun im Klartext zusammen mit der Bestellbestätigung an die im Bestellprozess angegebene E-Mail Adresse verschickt.

Bestellbestätigung pc_met

Anmerkung: Das hier gezeigte Passwort 12345678 wurde natürlich nicht vom Autor verwendet und ist hier nur zu Illustrationszwecken eingefügt. Aber es wäre ein mögliches Passwort gewesen. An dieser Stelle stand jedoch das echte vom Autor gewählte Passwort.

Das macht man schon mal überhaupt nicht (Wunder 2), denn jeder sollte mittlerweile wissen, dass eine E-Mail grundsätzlich unverschlüsselt übertragen wird und der Weg, den die Nachricht vom Absender zum Empfänger nimmt, nicht vorherzusagen ist. Auch wenn heutzutage Teile der Kommunikation verschlüsselt übertragen werden, darf man sich darauf bei einer E-Mail nicht verlassen.

Und dann wird dem Nutzer dieses Passwort per SMS zugeschickt, was aus zweierlei Gründen unsinnig ist, da er es ja selbst gewählt hat und es zweitens in der E-Mail Bestätigung enthalten war.

Jetzt kommt Wunder 3: Unter Flugwetter.de findet man keinen Punkt, wo man das nun als kompromittiert geltende Passwort in ein geheimes, nur dem Nutzer bekanntes ändern könnte (ebenfalls gültiger Sicherheitsstandard).

Besonders schlimm: Würde man dieses Passwort auch an anderer Stelle benutzen (was bei vielen Usern nicht unüblich ist), gelten auch diese Accounts ab sofort als gefährdet. Und das ist hier die eigentliche Gefahr: Mit dem bei DWD erbeuteten Passwort kann ein fremder Dritter nicht viel anfangen, denn er kommt damit nicht in ein Portal beim DWD, um z.B. Bezahlinformationen wie z.B. Kontonummern auszulesen. Diese Funktionen gibt es gar nicht. Er könnte nur ein Jahr lang den Flugwetterdienst nutzen. Also ist zu hoffen, dass kein Nutzer dasselbe Passwort an anderer Stelle nutzt, wo es mehr Schaden anrichten kann.

Nur noch als Sahnehäubchen zu so viel  Security-Inkompetenz: Es gibt offenbar keinen Link, über den man das Passwort anfordern könnte, wenn man es denn einmal vergessen hat (wobei es auch dann nicht im Klartext übermittelt werden, sondern nur ein Reset-Link verschickt werden dürfte).

Das ganze ist umso überraschender, als das der Deutsche Wetterdienst ( DWD ) eine dem Bundesministeriums für Digitales und Verkehr unterstellte Institution ist und er für die Erfüllung der meteorologischen Erfordernisse aller Wirtschafts- und Gesellschaftsbereiche in Deutschland zuständig ist (Die Aufgaben basieren auf einem gesetzlichen Informations- und Forschungsauftrag, dem Gesetz über den Deutschen Wetterdienst.). Da gilt wieder einmal der Spruch „Der Schuster hat die schlechtesten Schuhe“ und mit solch mangelhafter Umsetzung sind wir weit von einer Digitalisierung in Deutschland entfernt.

Responsible Disclosure:

Nun ist der Vorfall gut vier Monate her und der Autor hat selbstverständlich den DWD um eine Stellungnahme zu diesen Unzulänglichkeiten und insbesondere, ob die Passwörter im Klartext in den Systemen gespeichert werden, aufgefordert. Schade, dass es vorher niemand anderem aufgefallen war.

Nun kommen die guten Nachrichten.

Der DWD hat sich innerhalb weniger Tage beim Autor gemeldet und den Vorwurf bestätigt. Aber mehr noch. Man hat nach eigenen Angaben umgehend das Versenden der Kennwörter im Klartext in der E-Mail-Benachrichtigung deaktiviert und Maßnahmen projektiert, um das System auf einen adäquaten und modernen Sicherheitsstandard umzubauen. In den folgenden Wochen gab es daher einen intensiven Austausch über die Planung und den Umsetzungsstand und man geht seitens des DWD davon aus, dass ein neues System in Q4/2024 bzw. Anfang 2025 in Betrieb gehen wird. Das ist nicht besonders schnell, aber Sorgfalt geht im Zweifelsfall vor Schnelligkeit. Das ist schon einmal als professionelle Reaktion zu begrüßen.

Einem wesentlichen Kritikpunkt des Autors ist der DWD nun am 31.07.2024 nachgekommen, nämlich der Benachrichtigung aller pc_met-Benutzer, dass diese prüfen, ob sie dasselbe Passwort auch auf anderen Plattformen oder Diensten verwenden. Dann wird dringend empfohlen, dieses dort zu ändern.

Im Rahmen des Responsible Disclosures erfolgt daher erst jetzt die Veröffentlichung der Sicherheitslücke, damit der Betreiber ausreichend Zeit für das Schließen der Angriffsfläche hat. Eine Veröffentlichung ist jedoch allein deshalb nötig, um den Druck auf den Betreiber aufrecht zu erhalten, alle in diesem Zusammenhang stehenden Lücken zu schließen. Die Erfahrung an anderer Stelle zeigt, dass, ohne Veröffentlichung nach üblicherweise 90 Tagen, gefundene Lücken nie oder nicht zeitnah geschlossen werden.

Der DWD geht in seiner Benachrichtigung nicht davon aus, dass es sich um eine Datenpanne handelt und er keine Anhaltspunkte dazu hat, dass Dritte auf Ihre Daten zugegriffen haben.

Eine Datenpanne ist es nach Auffassung des Autors sicherlich, aber es ist zu hoffen, dass tatsächlich kein Hacker auf die Datenbank des DWD bzw. das E-Mail-Postfach des Sendmail-Prozesses zugreifen konnte, denn die ganzen User-Passwörter müssen dort im Klartext herumliegen bzw. vorhanden gewesen sein. Ansonsten wäre ein Versand im Klartext nicht möglich gewesen.

Schlecht ist, dass das als kompromittiert geltende Passwort im DWD-System nun weiterhin erst einmal nicht geändert werden kann und unklar ist, ob die Passörter nun tatsächlich nur noch als HASH gespeichert abgelegt sind. Auch wenn das bei einem nur 8-stelligen Passwort heutzutage auch kein ausreichender Schutz gegen das Entschlüsseln ist, wäre das zumindest ein erster Schritt in Richtung mehr IT-Security. Gefährlich wird es aber hier, wenn ein Angreifer die gesamte Datenbank der schwachen Passwörter bzw. deren HASH-Werte erbeuten kann. Für 8-stellige Passwörter gibt es im Darknet Rainbow-Tabellen mit zugehörigem Klartext zu kaufen.

Man sieht: IT-Security ist komplex und gehört in professionelle Hände.

Fazit: Nach der haarsträubend schlechten Umsetzung von IT-Security und Datenschutz im System pc_met hat der DWD in der Folge sehr professionell reagiert. Dem Autor liegen Details zur geplanten Umsetzung vor, die aus Sicherheitsgründen nicht veröffentlicht werden, aber das Vertrauen erhöhen, dass zukünftig ein heutigen Standards der IT-Sicherheit und Datenschutz entsprechendes System aufgebaut wird.

Dem Dienstherrn „Bundesministeriums für Digitales und Verkehr“ incl. dem zuständigen Bundesdatenschutzbeauftragten muss man vorhalten, dass beide ihrer Aufsichtsplicht offenbar nicht nachgekommen sind. Ob sie es nun tun, bleibt abzuwarten, denn auch das neue System bedarf spätestens nach Inbetriebnahme (besser schon vorher) einer externen fachlichen Überprüfung.

Positiv an der ganzen Sache ist, dass sie als Anschauungs-Beispiel für andere dienen kann, wie man es definitiv nicht machen darf.

So, und nun loggen wir uns mal wieder ins pc_met ein und schauen, ob das Wetter mitspielt und wir fliegen können. Denn das war die eigentliche Aufgabenstellung.

Über den Autor:

Thomas Käfer

Dipl.-Ing. Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus seit 1990 selbstständig in der IT tätig. Das Tätigkeitsfeld der Firma Käfer umfasst Consulting-Leistungen im Bereich der IT-Sicherheit incl. Penetration-Testing u.a. im Automotive-Umfeld. Thomas Käfer arbeitet seit 2002 als Sachverstän­diger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consul­tant, Fachautor und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik. Er hat 2015 erfolgreich den berufsbegleitenden Masterstudiengang „Digitale Forensik“ an der Hochschule Albstadt-Sigmaringen in Kooperation mit der LMU München und der FAU Erlangen abgeschlossen und in diesem Rahmen eine umfangreiche Forschungsarbeit zum Thema Digitale Kfz-Forensik erstellt. Thomas Käfer beschäftigt sich regelmäßig mit Fragestellungen der IT-Sicherheit und der forensischen Auswertung von modernen Fahrzeugen und IT-Systemen, die mit diesen gekoppelt werden. Er ist Speaker auf Veranstaltungen zum Thema IT-Sicherheit und Datenschutz und hält Schulungen und Workshops zu diesem Thema für Automobilindustrie, Zulieferer, Behörden und Verbände.

Schreibe einen Kommentar