Bundespolizei verwendete unsicheres Serverpaket XAMPP

XAMPP ist ein bekanntes Komplett-Paket, mit dem man in relativ kurzer Zeit und ohne große Vorkenntnisse einen lauffähigen Server mit Apache-Webserver, MySQL-Datenbank und PHP-Skriptsprache aufsetzen kann. Die Macher von Xampp weisen ausdrücklich daraufhin, dass Xampp nicht für Produktivsysteme gedacht ist, sondern dazu dient, schnell und einfach ein Entwicklungs- und Testsystem zur Verfügung zu stellen. Deshalb werden die Sicherheitseinstellungen diverser Xampp-Komponenten bewusst sehr lasch gehandhabt. Wer also schnell erste Erfahrungen mit Apache, MySQL und PHP sammeln will, liegt mit XAMPP goldrichtig. Wer dagegen mit XAMPP tatsächlich eine funktionierende Website ins Internet stellen will, muss seine XAMPP-Serverinstallation nachträglich erheblich von Hand absichern. Oder man baut einen Server besser gleich von Grund auf selbstständig ohne das XAMPP-Paket auf.

Diesen wichtigen Hinweis hatte ganz offensichtlich ein Mitarbeiter der Bundespolizei nicht ernst genommen. Und mit XAMPP einen Server (anscheinend einen Downloadserver) für die Bundespolizei aufgesetzt, der dann prompt gehackt wurde. Genau genommen wurde ein Server des deutschen Zolls von der „No Name Crew“ ausgeräumt. Konkret wurden anscheinend Daten des GPS-Ortungssystem "Patras" erbeutet.

Die Macher von XAMPP weisen angesichts dieses Desasters heute in einer Rundmail an ihre Nutzer noch einmal auf die bewusst niedrigen Sicherheitsvorkehrungen ihres XAMPP-Paketes hin: „Wie schon an vielen anderen Stelle erwähnt ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Programmierer innerhalb von Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht restriktiv sondern im Gegenteil sehr offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so keine Grenzen vom System vorgeschrieben bekommt. Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet." (PC-Welt/cvi)