Security-Firma entdeckt Sicherheitslücken auf Vatikan-Servern

Ein britisches Cyber-Security-Unternehmen hat Sicherheitslücken auf einigen Webseiten des Vatikans entdeckt, darunter auch auf der Spenden-Seite für den Peterspfennig. Wie die britische Tageszeitung "Daily Express" am Wochenende berichtete, habe Cybersec Innovation Partners (CIP) mehrere Probleme identifiziert, die potentiell für Online-Betrug genutzt werden könnten. "Wir haben den Vatikan vor zwei Wochen über seine zahlreichen und inakzeptablen Sicherheitslücken informiert, aber man hat nichts unternommen, um die Sicherheit von Menschen zu garantieren, die ihre Kirche durch Spenden unterstützen wollen", so ein Sprecher des Unternehmens. Ob es bereits Schadensfälle gegeben hat oder ob die Lücken im Zusammenhang mit einem chinesischen Hacker-Angriff auf den Vatikan im Juli stehen, ist nicht bekannt.

Gegenüber katholisch.de erläuterte der Geschäftsführer von CIP, dass das Unternehmen aufgrund dieser Angriffe den Vatikan überprüft hatte. "Von Zeit zu Zeit überprüfen wir die Internetsicherheit von Organisationen, die angegriffen wurden", so der Geschäftsführer. "Wir haben dem Vatikan auch unsere Unterstützung angeboten, da immer noch 1,3 Millionen Gläubige potentielle Opfer sind."

Im Detail gehen die Sicherheitsforscher nicht auf ihre Erkenntnisse ein. Es gebe aber "viele, viele weitere" Sicherheitslücken über die veröffentlichte hinaus. Eines der festgestellten Probleme sei die fehlende Transportverschlüsselung von 82 der 84 von ihnen gefundenen Vatikan-Domains inklusive der Hauptseite vatican.va. Auch das Spendenportal für den Peterspfennig obolodisanpietro.va wird unverschlüsselt übertragen. Diese fehlende Verschlüsselung, erkennbar an dem fehlenden grünen Vorhängeschloss-Symbol und der Warnung "Nicht sicher" in der Adresszeile des Browsers, kann ausgenutzt werden, indem durch eine Manipulation bei der Übertragung statt der originalen Inhalte gefälschte übermittelt werden. Eine ordnungsgemäße Verschlüsselung erschwert sogenannte "machine in the middle"-Angriffe, bei denen Angreifer vorgeben, selbst der Vatikan-Server zu sein, da Nutzer anhand der Verschlüsselung sicher sein können, dass sie tatsächlich mit dem echten Vatikan kommunizieren.

Vatikan seit Monaten im Visier chinesischer Hacker

Die eigentliche Zahlungsabwicklung des Peterspfennigs wird jedoch mit einem verschlüsselten System vorgenommen. Das Spendenformular für Adresse und Betrag wird jedoch unverschlüsselt zur Verfügung gestellt. Die Sicherheitsfirma habe den Vatikan laut "Daily Express" außerdem darauf hingewiesen, dass durch aus den Sicherheitslücken folgenden Datenpannen große Strafzahlungen folgen könnten. Im Vatikanstaat gibt es zwar laut Auskunft des Päpstlichen Rats für die Gesetzestexte kein Datenschutzrecht, der Peterspfennig stellt jedoch eine Datenschutzerklärung gemäß EU-Datenschutzgrundverordnung (DSGVO) zur Verfügung. Auch Anbieter außerhalb der EU müssen die Regelungen der DSGVO befolgen, wenn sie sich an Menschen innerhalb der EU wenden.

Der Vatikan und andere katholische Institutionen stehen seit Monaten im Visier von Hackern. Aufgrund der Verhandlungen über ein neues Abkommen zwischen dem Heiligen Stuhl und China sowie der Demokratiebewegung in Hongkong sollen staatsnahe chinesische Hackergruppen teilweise erfolgreich kirchliche Server angegriffen haben. Im Sommer sei Medienberichten zufolge die IT des Vatikans infiltriert worden. Auch die Diözese Hongkong sowie das deutsche China-Zentrum in Sankt Augustin seien auf ähnliche Weise angegriffen worden. 2018 wurde Vatican News Opfer einer Sicherheitslücke: Unbefugten war es aufgrund eines technischen Fehlers möglich, beliebige Inhalte auf der Seite anzuzeigen. (fxn)

Ergänzung, 19. August 2020: Stellungnahme Geschäftsführer.