Ein Computerexperte entdeckte die Sicherheitslücke. Über sie hätte auch Schadsoftware verbreitet werden können.

"Gesucht von den deutschen Strafverfolgungsbehörden", steht auf der Webseite von Interpol in Großbuchstaben. Darunter der Name, Markus Ulbig, ein Foto, und die Anklage: "Versuchte Massenüberwachung von 55 000 Mobiltelefonen und Sammeln von mehr als einer Million Verbindungsdaten".

Markus Ulbig, wie er auf dem Interpol-Fahndungsfoto zu sehen ist, ist CDU-Politiker und Innenminister von Sachsen. Und die angebliche Fahndung das Werk des Hackers Matthias Ungethüm, der eine Sicherheitslücke auf der Webseite von Interpol entdeckt hatte. Über einen manipulierten verlängerten Link konnte der Computerexperte die öffentliche Fahndungsliste von Interpol manipulieren und jeden beliebigen Menschen dort auflisten. Auch den sächsischen Innenminister Ulbig.

Ungethüm sagt, er habe Interpol am 30. Mai über die Sicherheitslücke informiert, ohne dass die Organisation reagiert habe. Inzwischen sei die Lücke aber geschlossen, nachdem der MDR und die Morgenpost Dresden über den Fall berichteten. Allerdings war Ulbig nicht für jeden Besucher der Interpol-Webseite sichtbar. Der manipulierte Link, der die Informationen mit der gefälschten Fahndungsliste enthält, könnte aber über Facebook, Twitter oder auch per E-Mail verbreitet werden und würde für die meisten Nutzer wie eine offizielle Interpol-Verlautbarung aussehen.

Ungethüm nutzte den Umstand aus, dass der Webserver von Interpol das Ausführen von Programmbefehlen, die von außen kommen, nicht komplett unterbinden konnte. Das sogenannte Cross Site Scripting kann dazu verwendet werden, unerwünschte Inhalte auf einer Homepage erscheinen zu lassen.

So wäre es beispielsweise auch möglich, einem unbedarften Nutzer Schadsoftware oder Viren unterzujubeln. Außerdem wird diese Sicherheitslücke dazu verwendet, Verbindungen zwischen einem Anwender und dem Server zu kapern. Bei dem Hack fand aber kein Einbruch in den Webserver des weltweiten Zusammenschlusses der Polizeiorganisationen statt.