Sicherheitslücke bei der Arbeitsagentur wird weiter ignoriert

Es ist bereits etwa 9 Monate her, dass ich die Arbeitsagentur über höchst kritische Sicherheitsprobleme in deren Internetportal informiert habe. Eine SQL Injection erlaubt den Zugriff auf Datenbanken und könnte ggf. zur Kontrollübernahme durch einen Angreifer führen. Bis zum heutigen Tage hat man meine Sicherheitshinweise nicht wahrgenommen und auch die bereits stattgefundene Veröffentlichung von Datenbankauszügen durch den damaligen Hinweisgeber „sup3ria“ ignoriert. Den damaligen Beitrag kann man hier lesen:  Bundesagentur für Arbeit ignoriert Sicherheitslücke

Selbst eine Warnmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) blieb bisher erfolglos und ohne jegliche Rückmeldung von Seiten der Ansprechpartner. Zuvor war die Kooperation mit dem BSI recht gut – Man hat stets meine Hinweise dankend angenommen und auch bereits Sicherheitswarnungen durch das Bürger-CERT veröffentlicht. Auf meine Bitte, die Arbeitsagentur über die gefährliche Problematik aufzuklären und die Beseitigung der Schwachstelle(n) in Gang zu bringen, wollte man aber dem Anschein nach nicht nachgehen. Seitdem hat sich an der Sicherheitslücke bei der Arbeitsagentur keine Änderung feststellen lassen.

Bundesinnenminister Friedrich will schwere IT-Angriffe per Gesetz meldepflichtig machen. Da frage ich mich doch, ob man dann auch derart hartnäckige Ignoranz bei Behörden bzw. Staatsorganen, entsprechend sanktioniert und die Verantwortlichen dafür haftbar machen möchte? Die Regierung fordert immer mehr Überwachung, möchte Spionage an den eigenen Bürgern rechtfertigen, aber ist nicht fähig, auf dringliche Warnungen sofort zu reagieren. Nun, da frage ich Sie Herr Friedrich: Was bringt Ihnen ein „Cyber-Abwehrzentrum“, wenn es nichts abwehrt und vielleicht noch nicht einmal bemerkt, wenn Angreifer über die Hintertür ganze Systeme kontrollieren oder sensible Datensätze aus den Datenbanken saugen?

Update 28.09.2012:

Die Kollegen von der Internetwache haben mir vor wenigen Tagen mitgeteilt, dass auch dort ein Fall bezüglich der Arbeitsagentur bearbeitet wird. Nach Angaben der Internetwache, wurden weitere Sicherheitslücken in anderen Bereichen des Internetportals der Agentur für Arbeit entdeckt und schon im Mai 2012 gemeldet. Auch hier gab es erhebliche Probleme mit der Kommunikation. Teilweise wurden die aufgedeckten Schwachstellen beseitgt, aber wie erwähnt nur teilweise.

In der Zwischenzeit habe ich – nach einem Austausch über einen anderen Fall – den BFDI über die Angelegenheit informiert und gebeten einen Blick auf den Fall zu werfen. Ich bin gespannt, wie man auf die bekannte Sicherheitsproblematik reagieren wird. Natürlich werde ich über den weiteren Verlauf berichten.