DatensicherheitSoftware

Vergessene Foren, offene Türen: 10 Jahre Sicherheitslücke

Von ·

Zehn Jahre. So lange konnten Angreifer bei unzähligen Onlineforen einfach als Admin einloggen – ohne Passwort, ohne Exploit-Kette, ohne großen Aufwand. Golem berichtet über eine Sicherheitslücke in weit verbreiteter Forensoftware, die genau das ermöglichte: vollständiger Administratorzugriff für jeden, der weiß, wie man sucht.

Mich überrascht das nicht. Ich erlebe in meiner Beratung regelmäßig, dass Websites und Webanwendungen laufen – und zwar jahrelang, ohne dass sich jemand darum kümmert. Ein Forum, das 2015 aufgesetzt wurde, läuft oft noch auf PHP 7.x, nutzt jQuery 1.x und wurde seit dem letzten Beitrag im Jahr 2018 nicht mehr angefasst. Technisch läuft es. Sicherheitstechnisch ist es eine offene Scheunentür.

Nicht nur ein Sicherheitsproblem

Das Thema wird fast ausschließlich als Security-Incident diskutiert. Aber ich sehe darin auch ein digitales Nachhaltigkeitsproblem – und zwar aus zwei Richtungen.

Erstens: Nicht gewartete Software verbraucht weiterhin Serverressourcen, erzeugt CO₂-Emissionen und bindet Speicher- und Netzwerkkapazität. Eine tote Community mit 200 Mitgliedern und zehntausend Beiträgen, die niemand mehr liest, hat einen realen digitalen Fußabdruck. Sie kostet Energie – jeden Tag.

Zweitens: Kompromittierte Systeme werden häufig für Spam, Malware-Verteilung oder Krypto-Mining missbraucht. Ein gehacktes Forum sendet dann tonnenweise Phishing-Mails oder schürft im Hintergrund digitale Währungen. Das multipliziert den Energieverbrauch – völlig unbemerkt.

Das Muster ist immer dasselbe

Die Lücke in der Forensoftware ist kein Einzelfall. Ich sehe dasselbe Muster bei WordPress- Installationen mit veralteten Plugins, bei jQuery-Versionen aus dem Jahr 2013 in produktiven Shops, bei PHP-Versionen, für die der Support schon Jahre zurückliegt. Das Internet ist voll von Software-Zombies: technisch lebendig, sicherheitstechnisch tot.

Das Problem ist nicht fehlendes Wissen. Das Problem ist fehlende Pflege – und mangelnde Bereitschaft, Dinge loszulassen. Ein Forum, das niemand mehr braucht, muss nicht gewartet werden. Es muss abgeschaltet werden.

Achtung
Betreibst du noch eine Webpräsenz, ein Forum oder ein CMS, das du seit mehr als einem Jahr nicht aktualisiert hast? Dann ist jetzt der richtige Moment: entweder aktualisieren oder abschalten. Ein ungepatchtes System ist kein schlafendes System – es ist ein offenes Einfallstor.

Was konkret zu tun ist

Für aktiv betriebene Foren und CMS-Systeme gilt: PHP-Version prüfen (mindestens 8.2 sollte es heute sein), Forensoftware auf den aktuellen Stand bringen, nicht mehr benötigte Plugins deaktivieren und löschen – nicht nur deaktivieren. Jede ungepflegte Codezeile ist potenzielle Angriffsfläche.

Für nicht mehr aktive Projekte gilt: offline nehmen, Backup sichern, Domain entweder umleiten oder auslaufen lassen. Das ist digitale Hygiene – und gleichzeitig ein kleiner, realer Beitrag zu weniger Energieverbrauch im Netz.

Der Golem-Artikel zeigt einmal mehr, dass das Vergessen im Digitalen teuer werden kann. Nicht nur für die Sicherheit der Nutzenden – sondern auch für den Planeten.

Quelle: Golem – Admin-Zugriff für alle: Unzählige Onlineforen seit 10 Jahren angreifbar