Ticker

6/recent/ticker-posts

Ad Code

Responsive Advertisement

Datenleck in öffentlicher Verwaltung: Ethisches Hacken für mehr Datensicherheit

Öffentliche Verwaltungen müssten Datensicherheit großschreiben, denn sie hantieren mit sensiblen Daten von Bürger:innen. Das Beispiel einer Sicherheitslücke im Bürgerportal Schleswig-Holstein zeigt allerdings, dass viele Schrauben noch falsch eingestellt sind.

Portrait von Matthias Marx
Matthias Marx, Hacker im Chaos Computer Club. – C. Kurz

Cyberangriffe auf öffentliche Einrichtungen sind eine reale Bedrohung wie die Fälle in Anhalt-Bitterfeld oder Potsdam zeigen. Auf dem Spiel steht die Sicherheit privater sensibler Daten von Bürger:innen oder Kund:innen. Sie zu schützen machen sich ethische Hacker:innen zur Aufgabe, die in ihrer Freizeit und unentgeltlich nach Sicherheitslücken in Unternehmen oder öffentlichen Verwaltungen suchen und diese den betroffenen Stellen melden. Einer von ihnen ist der IT-Sicherheitsforscher Matthias Marx.

Zuletzt sorgte er zusammen mit den Hackern starbug und snoopy mit der Datenrecherche „Hiide and Seek“ international für großes Medieninteresse. Die drei fanden heraus, dass sensible Daten wie Fingerabdrücke und Iris-Scans ungeschützt waren, die das US-Militär in Afghanistan gesammelt hatte. Die Geräte des Militärs wurden samt Daten auf Ebay verkauft, ohne Rücksicht auf die Gefahr für die Betroffenen. Als Experte für Biometrie kämpft Marx in der europaweiten Kampagne ReclaimYourFace gegen die Massenüberwachung anhand biometrischer Daten und klärt in Vorträgen darüber auf.

Regelmäßig macht sich Marx mit anderen vom CCC auf die Suche nach Sicherheitslücken, um sie zu finden, bevor es „andere Interessierte tun, deren Scripte schneller zuschlagen können und deren primäre Motivation nicht die Beseitigung der Lücken ist“, wie sie erklären. Dabei geht es nicht immer um Riesendatenmengen. Marx‘ Motivation ist nicht der große Enthüllungseffekt, den eine Veröffentlichung einer Sicherheitslücke haben kann. Ihm geht es darum, Bewusstsein für den Umgang mit Daten zu schaffen, vor allem bei jenen, die mit den Daten anderer hantieren.

So auch bei seinem Fund einer Sicherheitslücke im Bürgerportal Schleswig-Holstein. Hier waren die Daten von 1.000 Bürger:innen dem Zugriff potentieller Angreifer ausgesetzt. Die Projektverantwortlichen haben die Lücke inzwischen geschlossen, nachdem Marx sie unmittelbar nach seinem Fund darüber informierte. Doch es bleiben Bedenken, ob die Sicherheitsvorkehrungen ausreichend sind.

„Öffentliche Daten nützen, private Daten schützen“

Wie Marx auf das Datenleck stieß und wie er daraufhin vorging, erinnert an einen der Grundsätze des CCC: Öffentliche Daten nützen, private Daten schützen. Das Bürgerportal Schleswig-Holstein ist ein Projekt des Bundeslandes, das zur Umsetzung des Onlinezugangsgesetzes (OZG) gehört. Danach haben die einzelnen Länder Portale, über die sich Bürger:innen ein Konto anlegen können, um Verwaltungsleistungen online in Anspruch zu nehmen. Über das Portal Schleswig-Holstein sollen Bürger:innen beispielsweise in Zukunft online aus der Kirche austreten oder einen Hund für die Hundesteuer anmelden können.

Schleswig-Holstein entwickelt das Portal auf Landesebene als modulbasierte Architektur. Die Kommunen können es jeweils in ihre Webseite integrieren und in einer Beta-Version des OZG-Shops des Landes nach Bedarf Dienste bestellen. Wollen sich Bürger:innen einer bestimmten Gemeinde ein Service-Konto einrichten, registrieren sie sich über das Bürgerportal des Landes und werden zu ihrer Gemeinde weitergeleitet.

Aufmerksam wurde Marx auf das Projekt, weil es wie im OZG vorgesehen einen Open-Source-Ansatz verfolgt. Öffentlich ist der Code aber noch nicht. Auf Twitter erklärte Dataport, man schaffe aktuell „die nötigen Grundlagen, um den Quellcode im kommenden Jahr auf dem Gitlab-Server des Landes zu veröffentlichen“. Dataport ist einer der größten öffentlichen Dienstleister, der maßgeblich an der Umsetzung des OZG beteiligt ist. Während der öffentliche Dienstleister IT-Verbund Schleswig-Holstein (ITVSH) die Projektleitung für das Bürgerportal übernommen hat, sind technisch die Staatskanzlei des Bundeslandes, ein externer privater Dienstleister und Dataport verantwortlich.

Damit Verwaltungen ihre Leistungen digital anbieten können, erheben sie sensible Daten der Nutzer:innen und speichern sie in Datenbanken. Als Marx die Lücke fand, hätte er Namen, Adressen und Bezahlinformationen von gut 1.000 Bürger:innen einsehen können. Doch zum ethischen Hacken gehört es auch, das Einblicknehmen in private Daten so gut es geht zu vermeiden. Er ging nur soweit ins System, bis er das Ausmaß der Gefahr einschätzen konnte, die durch die Sicherheitslücke verursacht wurde.

Responsible Disclosure

Das zeigt, wie groß das Potential von Hacker:innen ist: einerseits das Potential zu schaden, andererseits das Potential zu beschützen. Ethische Hacker:innen kommen Menschen zuvor, die mit sensiblen Daten Kasse machen, indem sie sie zum Beispiel über Marktplätze im Darknet weiterverkaufen.

Daher ist es nicht nur wichtig, dass ethische Hacker:innen Sicherheitslücken finden, sondern sie auch verantwortungsvoll den zuständigen Stellen melden, um sie so schnell wie möglich zu schließen. Ein solches Vorgehen heißt „responsible disclosure“. Es bedeutet, dass diese Stellen vorab gewarnt werden und genügend Zeit bekommen, die Lücke zu schließen, bevor Hacker:innen damit an die Öffentlichkeit gehen. Denn es geht in erster Linie darum, die Daten derjenigen zu schützen, die sie nicht selbst schützen können und die oftmals nichts davon erfahren, dass ihre Daten der Gefahr des Missbrauchs ausgesetzt waren.

Die Reaktionen von Unternehmen und öffentlichen Stellen auf die Meldung einer Sicherheitslücke fallen dabei keineswegs immer positiv aus. Vielmehr, erzählt Marx, müssten ethische Hacker:innen fürchten, dass von offizieller Seite der Hackerparagraph bemüht wird, der keinen Unterschied macht zwischen jenen, die in Systeme eindringen, um sich zu bereichern, und anderen, die Systeme prüfen, um Lecks zu finden und Gefahren zu bannen. Ethische Hacker:innen gehen damit für sich selbst ein hohes Risiko ein und müssen stark abwägen, wem sie wieviel ihrer Arbeit preisgeben.

Laut Marx gestehen sowohl viele staatliche Stellen als auch private Unternehmen der Datensicherheit nicht den Stellenwert zu, der angemessen wäre. Daher macht er weiter. Als Reaktion des ITVSH auf Marx‘ Meldung bestätigt der öffentliche Dienstleister gegenüber netzpolitik.org, dass er „den Vorfall als positives Beispiel für die Zusammenarbeit von Zivilgesellschaft und Staat beim Thema IT-Sicherheit und als wichtigen Beitrag zur IT-Sicherheit staatlicher Angebote“ bewertet.

Ein Datenleck im Bürgerportal

Für ethische Hacker:innen ist eine solche Aussage ein bestärkendes Signal. Denn immerhin war der entscheidende Fehler vermeidbar, mit dem sich Marx Zugang ins System verschaffen konnte. Er hätte den Verantwortlichen auffallen müssen. Ein sogenannter Symfony Profiler einer Entwicklungsumgebung hing am Internet. Das ist ein Entwicklungswerkzeug für PHP. Die Hersteller warnen allerdings die Nutzer:innen ihres Produkts davor, diesen Profiler in Produktivumgebungen zu aktivieren. Das würde in jedem Fall zu gravierenden Sicherheitsschwachstellen im jeweiligen Projekt führen.

Zwar war nicht der Profiler einer Produktivumgebung am Netz. Doch auch die Verbindung zum Internet über die Entwicklungsumgebung war hoch problematisch. Das Werkzeug gewährt nämlich den Zugriff auf Umgebungsvariablen und erfasst Formulareingaben. Dazu zählen auch Daten aus Login-Formularen, die im Klartext gespeichert werden. So stieß Marx auf die Zugangsdaten eines Administrators.

Er stellte fest, dass die Zugangsdaten des Administrators zudem im Staging und auch im Produktivsystem funktionierten. Auf diese Weise konnte er ins Backend gelangen, über das er 80 Bürgerportale und rund 1.000 Nutzer:innenprofile hätte einsehen können. Er registrierte sich als Bürger in dem Bürgerportal einer betroffenen Kommune. Seinen Account fand er im Backend wieder. Im Profil gab es Felder für Name, Adresse und Bezahlinformationen.

Marx beschreibt, dass die Bürger:innen in derselben Tabelle aufgelistet waren wie die Administrator:innen. Er hätte also bei seinem Profil ein Häkchen setzen können, das ihm mit seinem normalen Bürgerkonto Administratorrechte hätte verschaffen können. Doch das tat er nicht.

Vielmehr machte er sich Gedanken, wen er kontaktieren sollte, an diesem späten Freitagnachmittag. Eine der ersten Anlaufstellen für Menschen, die Sicherheitslücken melden wollen, ist das CERT, das Computer Emergency Report Team. Das Notfallteam des CERT Nord war allerdings an diesem Freitag nur bis 15 Uhr erreichbar. Da die Lücke über einschlägige Suchmaschinen für potentielle Angreifer aber schon auffindbar war, drängte die Zeit.

Lücke geschlossen

Ein Mitarbeiter von Dataport empfahl Marx auf Anfrage, sich an die Abteilung für Digitalisierung der Staatskanzlei Schleswig-Holstein zu wenden sowie an den öffentlichen Dienstleister ITVSH. Zufällig erwischte Marx schließlich einen Mitarbeiter des CERT Nord, weil der eine Rufumleitung eingerichtet hatte. Auf Marx‘ E-Mail an den externen Dienstleister schließlich reagierte dieser noch am Freitagabend und nahm den Symfony Profiler vom Netz.

Sein Angebot, über die bloße Meldung hinaus zu helfen, haben die Verantwortlichen im Nachgang in mehreren Videocalls und Telefonaten wahrgenommen. Dort sollte er schildern, wie er die Lücke fand. Und er sprach Empfehlungen aus, wie man die Sicherheit zusätzlich verbessern könnte.

Auf Anfrage gibt der Dienstleister ITVSH gegenüber netzpolitik.org an, dass Marx sehr kooperativ und professionell aufgetreten und für sämtliche Rückfragen ansprechbar gewesen sei. Nach der Deinstallation des Symfony Profilers habe man sämtliche Passwörter der Admin-Accounts geändert.

Was man besser machen könnte

Einige Maßnahmen für die Datensicherheit haben die Verantwortlichen bereits umgesetzt oder in ihre Planung aufgenommen. Eine der grundlegenden Forderungen von Marx ist die Implementierung einer Mehr-Faktor-Authentifizierung vor allem für mächtige Accounts. Der IT-Verband gibt an, inzwischen eine Zwei-Faktor-Authentifizierung auf Test-Systemen des Herstellers eingerichtet zu haben. Die Vorbereitungen für die Freischaltung auf dem Stage- und Produktivsystem bei Dataport würden bereits laufen.

Ferner kritisiert Marx das Rechtemanagement. Über den Account, mit dem er sich ins Produktivsystem einloggte, hätte er Daten registrierter Bürger:innen einsehen können. Nutzername und Passwort hätten dafür ausgereicht. Der IT-Verband hat angegeben, dass nur noch technisch verantwortliche Mitarbeiter:innen bei Dataport Nutzer:innendaten einsehen könnten.

Auf eine strukturelle Schwäche scheinen die Verantwortlichen allerdings bislang nicht reagiert zu haben: die Anbindung der drei Systemebenen ans Internet. Laut Marx hingen zwei der Ebenen am Netz, was ein großes Sicherheitsrisiko birgt: die der Administratoren und die der Mitarbeiter in den öffentlichen Verwaltungsstellen. Er empfiehlt, dass Entwickler:innen nur über einen lokalen Server oder aus einem ganz bestimmten Netzbereich Zugang zum System erhalten sollten. Ähnlich verhalte es sich mit den Angestellten aus der Verwaltung. Für ihre Arbeit bräuchten sie nur den Zugang zu ihrem jeweiligen Amt. Der könnte über ein Intranet erfolgen. Selbst wenn es fürs Homeoffice notwendig würde, über einen Internetzugang auf die Datenbank zuzugreifen, sollten sie hier einen VPN-Client zwischenschalten. Das wäre für Angreifer eine weitere Hürde.

Auch von der zentralen Datenhaltung innerhalb eines Bundeslandes rät Marx dringend ab. Ein Land könnte vielmehr zentral Instanzen zur Verfügung stellen, die unabhängig voneinander operieren, aber auch miteinander. Die Daten sollten dezentral bei den jeweiligen Gemeinden liegen. Über Schnittstellen sollten sich Systeme aber auch austauschen können, damit Daten bei Bedarf auch an anderer Stelle abgerufen werden können. Die Interoperabilität sollte erhalten bleiben. Mit der dezentralen Lösung hätten Angreifer dementsprechend Zugriff auf viel kleinere Datenmengen.

Gemischte Gefühle

Im Rückblick habe Marx gemischte Gefühle. Denn die Verantwortlichen hätten zwar einerseits schnell reagiert und die Lücke geschlossen. Andererseits sei das Bürgerportal Schleswig-Holstein „kein Bastelprojekt“. Marx sei überrascht gewesen, ein Tor zu finden, das so weit offen steht. Sowas komme zwar vor, noch viel zu häufig. Viele der betroffenen Stellen hätten zu wenig Bewusstsein für die Verletzbarkeit der Daten, mit denen sie hantieren. Es komme aber nicht häufig vor, „dass man so durchmarschieren kann“, sagt Marx.

Generell hätten die Verursacher von Datenlecks kaum mit Folgen zu rechnen. Sie könnten an die Datenschutzbehörde herantreten, den Fall melden und dann tatsächlich oder vorgeblich anhand der Logdateien beweisen, dass niemand sonst Zugriff auf die Daten hatte. Da müssten die Betroffenen nicht einmal benachrichtigt werden. Eine Benachrichtigung der Nutzer:innen des Bürgerportals kann Marx ausschließen, da er selbst als Nutzer eine E-Mail hätte erhalten müssen.

Und das sind nur die Fälle, wo Sicherheitsforscher:innen an betroffene Stellen herantreten und Lücken melden. Die Zahl an Fällen insgesamt, wo Daten abhanden kommen und über kurz oder lang missbraucht werden, sei hoch.

Die Leidtragenden sind in der Regel die Personen, deren Daten abhanden gekommen sind. Werden sie missbraucht, können die Betroffenen kaum feststellen, an welcher Stelle Angreifer ihre Daten abgezogen haben.

Was Marx an Verbesserungen vorschlägt, hat nichts mit Raketenwissenschaft zu tun: Gerade die Zwei-Faktor-Authentifizierung ist mitnichten eine neue oder besonders innovative Lösung. Auch die Einsicht, dass nicht jede Ebene eines Systems am Internet hängen muss, ist keineswegs neu. Beides hätte auch im Bürgerportal Schleswig-Holstein von Anfang implementiert werden müssen.


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Enregistrer un commentaire

0 Commentaires