Bundesagentur für Arbeit belügt BfDI zu Sicherheitslücken und Angriffen

Bundesagentur für Arbeit belügt BfDI zu Sicherheitslücken und Angriffen

Unglaublich dreist verhält sich die Bundesagentur für Arbeit in Bezug auf die seit über einem Jahr bekannten Sicherheitslücken in deren Internetpräsenzen. Wie bereits im letzten Beitrag erwähnt, habe ich zwischenzeitlich entsprechende Behörden über die Sicherheitsproblematik und das ignorante Verhalten der „Arbeitsagentur“ informiert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich der Sache bereits angenommen und ein Ermittlungsverfahren eingeleitet, wie mir bereits vor einiger Zeit auf dem Postweg mitgeteilt wurde.

Vor etwa einem Monat habe ich eine weitere Rückmeldung des BfDI zur Sache erhalten. Auf Anfrage des BfDI bei der Bundesagentur für Arbeit, was die Sicherheitslücken in den Portalen und den damaligen Angriff (wie im Blog des Hackers „sup3ria“ beschrieben) auf Datenbanken betraf, hat man offensichtlich nicht so sehr an der Wahrheit festgehalten. Der BfDI teilte mir schriftlich mit:

„…hat mir die Bundesagentur für Arbeit (BA) mitgeteilt, dass sie sich der Notwendigkeit bewusst sei, Angriffen aus dem Internet durch entsprechende organisatorische und technische IT-Sicherheitsmaßnahmen zu begegnen. Konkreten Hinweisen auf Sicherheitsverletzungen werde die BA jederzeit nachgehen. Sofern Angriffe auf die Informationsstruktur oder die Internetportale der BA stattfinden würden, würden diese im Rahmen von definierten Geschäftsprozessen analysiert und entsprechende Gegenmaßnahmen zur Gefahrenabwehr ergriffen werden.“

Nun, ich behaupte jetzt einfach mal pauschal, dass diese Aussage der BA eine Lüge darstellt, wie man sie dreister nicht mehr aussprechen kann. Seit über einem Jahr existieren Sicherheitslücken bei den Portalen der BA, die einem Angreifer Zugriff auf Datenbanken und die Manipulation von Inhalten, sowie das Verteilen von Malware ermöglichen. Es ist über ein Jahr her, dass die BA über die Sicherheitsproblematik informiert wurde. Die Warnhinweise kamen von mir persönlich und auch von anderen Sicherheitsexperten, die ebenfalls auf Sicherheitslücken bei der Agentur für Arbeit gestoßen sind. Wie im letzten Beitrag schon erwähnt, hat mich die „Internetwache“ ebenfalls zur BA kontaktiert und eine Liste mit Schwachstellen übersandt, die Portale der Bundesagentur für Arbeit betreffen und bisher zum größten Teil nicht geschlossen wurden, obwohl es bereits einen Erstkontakt gab. Würde man bei der BA tatsächlich Wert auf die Sicherheit der Datensätze und der Besucher legen, hätte man mich bereits kontaktiert. Selbst wenn ein Hinweis im Nirvana verschwindet, bleitb immernoch der Weg, direkten Kontakt aufzunehmen und Informationen zu erfragen. Seit über einem Jahr weise ich öffentlich auf Sicherheitslücken und einen erfolgten Hackerangriff (damaliger Blogeintrag von „sup3ria“ mit Auszügen aus der Datenbank) hin und bisher hat sich bei mir keine Bundesagentur für Arbeit gemeldet. Würde man bei der BA auch nur mal einen Blick in die Logs werfen und dabei den Inhalt verstehen, hätte man sofort erkennen müssen, dass dort ein „sToRm“ war, der diverse Sicherheitslücken überprüft und mehrmals bestätigt hat. So könnte man doch längst die behaupteten „Gegenmaßnahmen zur Gefahrenabwehr“ ergreifen und die Lücken abdichten.

Weiter teilt mir der BfDI mit:

„Soweit in der Vergangenheit von Seiten Dritter Einbruchsversuche oder Informationsabschöpfungen gemeldet worden seien, habe sich dies nach internen Überprüfungen jedoch stets als haltlos oder nicht nachvollziehbar erwiesen.“

Da frage ich mich, ob „nicht nachvollziehbar“ für die Herrschaften in der dortigen IT grundsätzlich heißt, dass die Lücken nicht vorhanden oder Angriffe nicht erfolgt sein können? Nur weil man in der IT unserer Bundesagentur für Arbeit nicht kompetent genug ist, mehrere SQL Injections und XSS-Schwachstellen nachzuvollziehen oder einen Datenbankauszug im Blogeintrag eines Hackers, mit den Inhalten der eigenen Datenbank zu vergleichen, heißt das noch lange nicht, dass die Warnmeldungen nur Quatsch sind. Was glauben die Leute denn, warum ich den BfDI einschalte? Weil mir langweilig ist und ich mich gerne mit Papierkram ärgere? Ne, also ehrlich.

So langsam verliere ich hier die Geduld und meine Nerven. Es kann doch nicht wahr sein, dass unsere Herrschaften im Bundestag ständig über IT-Sicherheit schwadronieren und uns „zum Schutz der Bürger“ – wie lächerlich das auch sein mag – Gesetzesanpassungen und den Überwachungsstaat aufzwingen möchten, sich aber gleichzeitig herausstellt, dass die „IT-Sicherheits-Superhelden“ unserer Regierung keine 5 Euro wert sind. Da wird ein „Cyber Abwehrzentrum“ mit Steuergeldern finanziert, welches eigentlich für solche Fälle zuständig sein sollte und was unternehmen die Herrschaften? Genau, exakt so viel wie das BSI, welches ebenfalls vor vielen Monaten über die Sicherheitslücken informiert wurde.

Ich werde den Fall weiter verfolgen und natürlich auch weiter berichten. So langsam hängt mir die Sache aber zum Hals heraus.

Update 24.01.2013:
Bereits gestern Abend bin ich über einen Beitrag bei heise.de gestolpert, der ebenfalls die Sicherheitsproblematik auf Seiten der Arbeitsagentur betrifft. Wie das Portal berichtet, gab es bereits Fälle, bei denen eine unsichere URL-Weiterleitung im Portal missbraucht wurde, um Phishing-Mails zu verschicken bzw. diese mit präparierten Weiterleitungen auszustatten. Der Autor bei heise Security schreibt hierzu:

…Doch wer mit der Maus über den angegebenen Link fährt, erlebt eine Überraschung: Er zeigt auf eine Unterseite von jobboerse.arbeitsagentur.de. Das eigentliche Ziel, die inzwischen nicht mehr erreichbare Phishing-Seite, hängt als Parameter an der verlinkten URL. Die Cyber-Gauner missbrauchen ein Umleitungsskript der Arbeitsagentur, um das Phishing-Opfer in spe in die Falle zu locken…

Da die Bundesagentur für Arbeit nun sicherlich erhöhte Aufmerksamkeit aus der „Szene“ genießt, gehe ich davon aus, dass es nur eine Frage der Zeit ist, bis weitere Sicherheitslücken – die ggf. auch zur Kontrollübernahme des Systems führen könnten – von böswilligen Angreifern aufgedeckt und ausgenutzt werden.

Update 09.02.2014:
Über 2 Jahre ist es nun her, dass ich die Bundesagentur für Arbeit über kritische Sicherheitsprobleme informiert habe. Man hat sich bis zum heutigen Tag nicht darum gekümmert, die Sicherheitsprobleme zu beseitigen oder gar einfach Kontakt mit dem Hinweisgeber aufzunehmen. Selbst das Einschalten des BfDI zeigte keine Wirkung – man hat diesen sogar belogen und wollte tatsächlich behaupten, dass keine Sicherheitsmängel oder Hackerangriffe auf Portale der BA vorliegen. Bis zum heutigen Tag ist die vor über 2 Jahren gemeldete Sicherheitslücke weiterhin vorhanden und kann von Angreifern ausgenutzt werden, um an Datenbanken zu gelangen. So wie ich gesehen habe, sind bereits Auszüge aus den Datenbanken von Angreifern, im Netz veröffentlicht worden. Es ist unfassbar, dass man sich bei der BA offenbar überhaupt nicht dafür interessiert.

Update 21.04.2015 – Happy Birthday nachträglich, liebe Sicherheitslücke:
Man möchte es fast nicht glauben, aber wir haben nun tatsächlich schon April 2015 und die vor über 3 Jahren gemeldete Sicherheitslücke ist weiterhin vorhanden. Von der „Bundesagentur für inkompetente Lügner“ gab es keinerlei Reaktion oder Kontaktversuch. Auch der BFDI hat sich nicht mehr gemeldet. Man hat scheinbar wichtigere Dinge zu tun, als sich mit Sicherheitslücken und den Schutz eigener Daten, sowie der Daten von „Kunden“ zu kümmern. Ich kann es wirklich nicht fassen, wie ignorant die REGIERUNG mit Sicherheitslücken umgeht, nebenbei aber über Vorratsdatenspeicherung und Meldepflichten für Unternehmen (in Bezug auf Sicherheitslücken) schwadronieren möchte.  Tja, was mache ich nun mit der Sicherheitslücke bei der Arbeitsagentur? Ich glaube… Ja, ich glaube ich werde ihr einen Kuchen backen: „Nachträglich zum Geburtstag, alles Gute!“

Update II 21.04.2015:
Ich möchte an dieser Stelle nochmal auf das Jahr 2013 blicken, in dem heise.de mit dem Titel „Phisher missbrauchen URL-Weiterleitung der Arbeitsagentur“ über eine Schwachstelle in der URL-Umleitung berichtet hatte, die bereits zum Phishing ausgenutzt wurde. Ich habe mich damals schon gefragt, warum man eine URL-Weiterleitung nutzt, wenn man auch direkt auf Seiten der Bundesagentur für Arbeit, Schadcode einbringen kann. Mittels Cross-Site-Scripting (XSS) wäre es nämlich sehr einfach, manipulierte Seiten einzubetten oder gleich direkt Malware zu streuen. Besonders praktisch ist dabei die Tatsache, dass die Bundesagentur für Arbeit so schlau war, die Benutzereingaben für die weitere Nutzung der Website abzuspeichern. Damit wird anschließend bei JEDEM Seitenaufruf – also auch, wenn der Benutzer merkt, dass die zuerst aufgerufene URL gefälschten Inhalt liefert – der manipulierte Inhalt, Schadecode oder Malware (…) mitgeliefert.

Da ja die Bundesagentur für Arbeit (BA) gegenüber dem Bundesbeauftragten für Datenschutz behauptet hatte, dass meine mitgeteilten Sicherheitslücken nicht existieren bzw. keine Schwachstelle nachvollzogen werden kann, demnach meine Aussage – dass Schwachstellen vorhanden sind – ohnehin nur falsch sein kann und ich über 3 JAHRE auf eine Reaktion warte, bin ich der Meinung, dass ein kleines Beispiel zur Demonstration für die Öffentlichkeit, durchaus – in Anbetracht des erhöhten, öffentlichen Interesses – im Rahmen des Möglichen sein sollte. Als Beispiel für eine Schwachstelle bei der Arbeitsagentur, könnte man nochmal den vorherigen Absatz lesen und anschließend diesem Link folgen (falls nichts angezeigt wird, Firefox und ggf. Flash nutzen, damit klappt es sicherlich) oder alternativ auch hier Mario Kart spielen. Danach von der aufgerufenen Seite, einfach mal auf die Startseite der Messebörse wechseln. Ich glaube, nun sollte klar werden, dass XSS in der Form sehr schmackhaft sein kann. Und gerade weil es bereits 2013 bestätigte Fälle von Phishing gegenüber Besuchern der Arbeitsagentur gab, verstehe ich nicht, dass man Hinweisen nicht nachgeht und auch selbst keine absolut ausführlichen Untersuchungen durchführt. Die nun öffentlich bekannte Schwachstelle ist aber noch nicht das Ende der Fahnenstange.

Ich musste feststellen, dass alleine am heutigen Tag einige Besucher mit dem Provider „Arbeitsagentur“ und auch „Bund (BSI)“ Zugriff auf diesen Beitrag hatten, ich über Dritte eine Info übersandt bekommen habe, dass es sich beim Systemausfall nicht um einen Hack, sondern einen Hardwarefehler handelte, aber KEINER – weder BSI, noch Arbeitsagentur –  hatte die Idee, mich zu kontaktieren und mehr Informationen über die Sicherheitsproblematik einzuholen. Ich kann mir nicht erklären warum, aber die Verantwortlichen – zum Beispiel in der Pressestelle der BA – werden ihre Gründe haben. Traurig…