Der Web-Auftritt der Partei Alternative für Deutschland (AfD) war unzureichend gesichert. Mitgliedsanträge waren in einem Web-Verzeichnis ohne weitere Schutzmaßnahmen direkt zugreifbar. Den Fehler haben die Betreiber inzwischen abgestellt. Auf Twitter hat Internetaktivistin N3ll4 mit dem Handle @n3ll41 auf die Sicherheitslücken aufmerksam gemacht. In einem ungeschützten, frei zugreifbaren Verzeichnis auf einem Server unter der AfD-Domain lagen Verzeichnisse mit PDF-Dateien. In Mitgliedsanträgen finden sich persönlich identifizierbare Informationen wie vollständiger Name, Anschrift, Geburtsdatum, E-Mail-Adresse sowie gewünschte Mitgliedsbeiträge. Das erlaubt Rückschlüsse auf die finanzielle Situation und natürlich politische Präferenzen der Betroffenen. Cyberkriminelle könnten die Informationen für geschicktes und gezieltes Phishing missbrauchen. Die Daten lassen sich womöglich aber auch zur Erpressung oder Bedrohung ausnutzen. heise online konnte die Fehlermeldung nachvollziehen. Das Verzeichnis war tatsächlich komplett schutzlos zugreifbar. Aber es gab noch weitere Hinweise von N3ll4 auf Sicherheitslücken im AfD-Webauftritt. Etwa die Domain rb.afd.de bietet passwortgeschützten Zugriff auf einige Dienste. Gegenüber heise online erklärte die IT-Sicherheitsexpertin: „rb.afd.de würde ich öffentlich nicht so stehen lassen, da man via BruteForce & co Zugang bekommen könnte oder durch die vorhandenen Schwachstellen“. Der Passwortschutz könnte aufgrund der zahlreichen Datenlecks bei der AfD in der Vergangenheit leicht zu überwinden sein. Dass die Zugänge nicht weiter etwa mit Zwei-Faktor-Authentifizierung geschützt werden, verwundert. Immerhin hat die AfD unter rsa.afd.de tatsächlich solch einen Dienst in Betrieb. Ein Schwachstellenscanner fand demnach umgehend Sicherheitslücken auf der Domain. Darunter eine kritische Lücke in Apaches mod_proxy, die HTTP-Request-Smuggling erlaubt (CVE-2023-25690, CVSS 9.8, Risiko „kritisch“). Auf Anfrage von heise online antwortete der Pressereferent der AfD: „Nach rascher Prüfung des Sachverhalts kann nicht ausgeschlossen werden, dass es für einen sehr kurzen Augenblick eine Zugriffsmöglichkeit auf im Höchstfall bis zu 15 Mitgliedsanträge von Antragstellern für eine Mitgliedschaft in der AfD gegeben hat. Diese theoretische Zugriffsmöglichkeit ist unmittelbar nach Bekanntwerden geschlossen worden. Derzeit läuft noch eine Klärung, ob Verstöße gegen die Datenschutzverordnung vorgekommen sein können, welche entsprechende Meldungen an die Betroffenen bzw. an die Landesdatenschutzbeauftragte Berlin nach sich ziehen würde.“ Auch andere Parteien haben mit Datenlecks aufgrund von Sicherheitslücken zu kämpfen. Die CDU etwa hatte die Krawall-Influencerin Lilith Wittmann nach Meldung von Schwachstellen in ihrer Wahlkampf-App und der dahinterliegenden Datenbank zunächst angezeigt. Die Anzeige wurde später zurückgezogen, die Partei entschuldigte sich zudem.

Quelle: Heise