Bundesagentur für Arbeit belügt BfDI zu Sicherheitslücken und Angriffen

Unglaublich dreist verhält sich die Bundesagentur für Arbeit in Bezug auf die seit über einem Jahr bekannten Sicherheitslücken in deren Internetpräsenzen. Wie bereits im letzten Beitrag erwähnt, habe ich zwischenzeitlich entsprechende Behörden über die Sicherheitsproblematik und das ignorante Verhalten der “Arbeitsagentur” informiert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich der Sache bereits angenommen und ein Ermittlungsverfahren eingeleitet, wie mir bereits vor einiger Zeit auf dem Postweg mitgeteilt wurde.

Vor etwa einem Monat habe ich eine weitere Rückmeldung des BfDI zur Sache erhalten. Auf Anfrage des BfDI bei der Bundesagentur für Arbeit, was die Sicherheitslücken in den Portalen und den damaligen Angriff (wie im Blog des Hackers “sup3ria” beschrieben) auf Datenbanken betraf, hat man offensichtlich nicht so sehr an der Wahrheit festgehalten. Der BfDI teilte mir schriftlich mit:

“…hat mir die Bundesagentur für Arbeit (BA) mitgeteilt, dass sie sich der Notwendigkeit bewusst sei, Angriffen aus dem Internet durch entsprechende organisatorische und technische IT-Sicherheitsmaßnahmen zu begegnen. Konkreten Hinweisen auf Sicherheitsverletzungen werde die BA jederzeit nachgehen. Sofern Angriffe auf die Informationsstruktur oder die Internetportale der BA stattfinden würden, würden diese im Rahmen von definierten Geschäftsprozessen analysiert und entsprechende Gegenmaßnahmen zur Gefahrenabwehr ergriffen werden.”

Nun, ich behaupte jetzt einfach mal pauschal, dass diese Aussage der BA eine Lüge darstellt, wie man sie dreister nicht mehr aussprechen kann. Seit über einem Jahr existieren Sicherheitslücken bei den Portalen der BA, die einem Angreifer Zugriff auf Datenbanken und die Manipulation von Inhalten, sowie das Verteilen von Malware ermöglichen. Es ist über ein Jahr her, dass die BA über die Sicherheitsproblematik informiert wurde. Die Warnhinweise kamen von mir persönlich und auch von anderen Sicherheitsexperten, die ebenfalls auf Sicherheitslücken bei der Agentur für Arbeit gestoßen sind. Wie im letzten Beitrag schon erwähnt, hat mich die “Internetwache” ebenfalls zur BA kontaktiert und eine Liste mit Schwachstellen übersandt, die Portale der Bundesagentur für Arbeit betreffen und bisher zum größten Teil nicht geschlossen wurden, obwohl es bereits einen Erstkontakt gab. Würde man bei der BA tatsächlich Wert auf die Sicherheit der Datensätze und der Besucher legen, hätte man mich bereits kontaktiert. Selbst wenn ein Hinweis im Nirvana verschwindet, bleitb immernoch der Weg, direkten Kontakt aufzunehmen und Informationen zu erfragen. Seit über einem Jahr weise ich öffentlich auf Sicherheitslücken und einen erfolgten Hackerangriff (damaliger Blogeintrag von “sup3ria” mit Auszügen aus der Datenbank) hin und bisher hat sich bei mir keine Bundesagentur für Arbeit gemeldet. Würde man bei der BA auch nur mal einen Blick in die Logs werfen und dabei den Inhalt verstehen, hätte man sofort erkennen müssen, dass dort ein “sToRm” war, der diverse Sicherheitslücken überprüft und mehrmals bestätigt hat. So könnte man doch längst die behaupteten “Gegenmaßnahmen zur Gefahrenabwehr” ergreifen und die Lücken abdichten.

Weiter teilt mir der BfDI mit:

“Soweit in der Vergangenheit von Seiten Dritter Einbruchsversuche oder Informationsabschöpfungen gemeldet worden seien, habe sich dies nach internen Überprüfungen jedoch stets als haltlos oder nicht nachvollziehbar erwiesen.”

Da frage ich mich, ob “nicht nachvollziehbar” für die Herrschaften in der dortigen IT grundsätzlich heißt, dass die Lücken nicht vorhanden oder Angriffe nicht erfolgt sein können? Nur weil man in der IT unserer Bundesagentur für Arbeit nicht kompetent genug ist, mehrere SQL Injections und XSS-Schwachstellen nachzuvollziehen oder einen Datenbankauszug im Blogeintrag eines Hackers, mit den Inhalten der eigenen Datenbank zu vergleichen, heißt das noch lange nicht, dass die Warnmeldungen nur Quatsch sind. Was glauben die Leute denn, warum ich den BfDI einschalte? Weil mir langweilig ist und ich mich gerne mit Papierkram ärgere? Ne, also ehrlich.

So langsam verliere ich hier die Geduld und meine Nerven. Es kann doch nicht wahr sein, dass unsere Herrschaften im Bundestag ständig über IT-Sicherheit schwadronieren und uns “zum Schutz der Bürger” – wie lächerlich das auch sein mag – Gesetzesanpassungen und den Überwachungsstaat aufzwingen möchten, sich aber gleichzeitig herausstellt, dass die “IT-Sicherheits-Superhelden” unserer Regierung keine 5 Euro wert sind. Da wird ein “Cyber Abwehrzentrum” mit Steuergeldern finanziert, welches eigentlich für solche Fälle zuständig sein sollte und was unternehmen die Herrschaften? Genau, exakt so viel wie das BSI, welches ebenfalls vor vielen Monaten über die Sicherheitslücken informiert wurde.

Ich werde den Fall weiter verfolgen und natürlich auch weiter berichten. So langsam hängt mir die Sache aber zum Hals heraus.

Update 24.01.2013:
Bereits gestern Abend bin ich über einen Beitrag bei heise.de gestolpert, der ebenfalls die Sicherheitsproblematik auf Seiten der Arbeitsagentur betrifft. Wie das Portal berichtet, gab es bereits Fälle, bei denen eine unsichere URL-Weiterleitung im Portal missbraucht wurde, um Phishing-Mails zu verschicken bzw. diese mit präparierten Weiterleitungen auszustatten. Der Autor bei heise Security schreibt hierzu:

…Doch wer mit der Maus über den angegebenen Link fährt, erlebt eine Überraschung: Er zeigt auf eine Unterseite von jobboerse.arbeitsagentur.de. Das eigentliche Ziel, die inzwischen nicht mehr erreichbare Phishing-Seite, hängt als Parameter an der verlinkten URL. Die Cyber-Gauner missbrauchen ein Umleitungsskript der Arbeitsagentur, um das Phishing-Opfer in spe in die Falle zu locken…

Da die Bundesagentur für Arbeit nun sicherlich erhöhte Aufmerksamkeit aus der “Szene” genießt, gehe ich davon aus, dass es nur eine Frage der Zeit ist, bis weitere Sicherheitslücken – die ggf. auch zur Kontrollübernahme des Systems führen könnten – von böswilligen Angreifern aufgedeckt und ausgenutzt werden.

Update 09.02.2014:
Über 2 Jahre ist es nun her, dass ich die Bundesagentur für Arbeit über kritische Sicherheitsprobleme informiert habe. Man hat sich bis zum heutigen Tag nicht darum gekümmert, die Sicherheitsprobleme zu beseitigen oder gar einfach Kontakt mit dem Hinweisgeber aufzunehmen. Selbst das Einschalten des BfDI zeigte keine Wirkung – man hat diesen sogar belogen und wollte tatsächlich behaupten, dass keine Sicherheitsmängel oder Hackerangriffe auf Portale der BA vorliegen. Bis zum heutigen Tag ist die vor über 2 Jahren gemeldete Sicherheitslücke weiterhin vorhanden und kann von Angreifern ausgenutzt werden, um an Datenbanken zu gelangen. So wie ich gesehen habe, sind bereits Auszüge aus den Datenbanken von Angreifern, im Netz veröffentlicht worden. Es ist unfassbar, dass man sich bei der BA offenbar überhaupt nicht dafür interessiert.

Bundesagentur für Arbeit belügt BfDI zu Sicherheitslücken und Angriffen
13 Stimmen, 4.69 durchschnittliche Bewertung (91% Ergebnis)