Na denn.
Das Forum wurde offensichtlich äußerst nachlässig programmiert und nie getestet. Es enthält unzählige Seiten, ich habe nur mal die Startseite gecheckt:
https://rauchfrei-info.de/community/forum/
Schon die enthält (neben unzähligen Syntaxfehlern) mehrere Möglichkeiten für Angreifer, problemlos in das System einzudringen und “alles” zu machen. Unter anderem mit CSRF-Angriffen - was damit möglich ist, muss man wohl keinem erklären, der mit IT-Security zu tun hat. Und das ist wie gesagt eine Seite von unzähligen, und gecheckt habe ich sie mit kostenlosen öffentlichen Tools.
https://validator.w3.org/
https://www.onlinesolutionsgroup.de/kostenloser-website-security-check/
Ermittler haben bessere. Als alter ITler mit einiger Praxis auch in bezug auf Fehlersuche und Datensicherheit bot ich der BZgA auch meine Zuarbeit an - abgelehnt, ihre IT würde dem schon nachgehen. Das wage ich zu bezweifeln, dazu waren sie nicht gewillt oder in der Lage (vermutlich nicht einmal informiert), so lange das Forum existiert und auch die User häufig Probleme melden. Ein kleines Wunder, dass noch nicht mehr passiert ist.
Das denken alle, so lange noch nichts passiert ist. Der letzte Fall, an den ich mich erinnere:
https://www.netzwelt.de/betrugswarnungen/166108-massiver-datenleck-domainfactory-zugriff-sensible-kundendaten.html
https://www.df.eu/blog/zusammenfassung-datenpanne-juli-2018/
Frag’ mal bei domainfactory an, was das Ganze gekostet hat. Von dem Ärger mit den Ermittlungsbehörden mal ganz zu schweigen … Was an die Öffentlichkeit kommt, ist aber nur die “Spitze eines Eisbergs”, das weiß man wohl. Also auch, dass das nur ein Fall von vielen war, und immer noch ein vergleichsweise harmloser.
Und das war ein Datenleck, im BZgA-Forum gibt’s unzählige. Und dieser Hacker war so “fair”, dass er keinen Missbrauch mit den Kundendaten betrieben hat. Der wollte ja auch etwas ganz anderes. Der “Hintenrum” - Datenverkauf ist inzwischen in großem Stil weltweit mafiös organisiert.
Mit Sicherheit nicht. Die haben andere Probleme, konkret mit dem Login. Sporadisch, aber dann massiv. Und die “Erklärungen” der Moderation “Rücksprache mit der IT gehalten, vermutlich Serverprobleme” zeugen von ziemlicher Inkompetenz. Das Login, überhaupt die ganze Userverwaltung, ist allein Sache der Forensoftware, nicht des Servers.
Übrigens besteht zwischen “der Website” an sich und dem eingebundenen Forum ein Unterschied wie Tag und Nacht. (Die stammen ja auch von zwei verschiedenen Anbietern.) An der Startseite hat nicht mal der messerscharfe W3C - Validator was auszusetzen, das will was heißen. Der moniert jedes falsche Zeichen an.