Sicherheitslücke verändert Website temporär

Mit XSS können beliebige Inhalte in eine eigentlich vertrauenswürdige Website eingefügt werden. Grundlage dafür ist ein manipulierter Link, über den der Nutzer auf die Seite gelangt. Er hat in diesem Fall die Bildersuche des Bundestags dazu gezwungen, einen beliebigen Code auszuführen.

Im gezeigten Beispiel handelt es sich dabei nur um ein Foto der Bundeskanzlerin, das mit einem beispielhaften und harmlosen Code über die Seite gelegt wurde, um die Funktion der Sicherheitslücke zu illustrieren. Hacker hätten jedoch auch die komplette Website umgestalten und etwa eine gefälschte Pressemitteilung anzeigen lassen können.

Dass diese nicht echt ist, hätten Nutzer nur in der Adresszeile des Browsers gesehen, da die Adresse länger ist, als gewöhnlich. Auch das Ausführen eines Schadcodes wie etwa eines Virus oder Trojaners ist denkbar.

Gekürzte Links in sozialen Netzwerken erleichtern Angriff

Da gerade auf Twitter jedoch in den meisten Fällen gekürzte Links geteilt werden, bei denen nicht direkt die komplette Adresse zu sehen ist, ließe sich eine entsprechende gefälschte Seite vermutlich leicht verbreiten. Selbst wenn ein Nutzer Verdacht schöpfen würde, sähe er am Anfang der Adresszeile im Browser außerdem weiterhin "bilderdienst.bundestag.de".

Die Suche des Bilderdienstes ist derzeit deaktiviert, laut Website "aus technischen Gründen". Dies geschah kurze Zeit nach einer Anfrage unserer Redaktion an die Pressestelle des Bundestags.

Update 17.59 Uhr: Die Pressestelle hat die Lücke bestätigt, das System werde derzeit reguliert. Ein faktischer Schaden könne nicht beobachtet werden.