AMS leugnet
Das AMS-IT-System dürfte massive Sicherheitslügen aufweisen. Eine dürfte, auf private Initative hin geschlossen worden sein, doch das AMS dementiert und sieht sein System auf dem “höchsten Stand”.
Wien, 10. August 2021 | Das IT-System des AMS dürfte grobe Sicherheitslücken aufweisen. Das gab der IT-Sicherheitsexperte Heiko Frenzel am Dienstag auf seiner Website bekannt. Über eine grobe Sicherheitslücke hat er das AMS informiert, die dann geschlossen wurde. Weitere Mängel schlummern aber offenbar noch immer im AMS-Netzwerk.
Massives Sicherheitsrisiko auf AMS-Schulungspage
Der bayerische Cyberprofi fand heraus, dass es für IT-Experten oder „Hacker“ sehr einfach wäre, sich zum Administrator auf der AMS-Schulungswebsite zu machen. Wäre jemand anderer mit bösartigen Absichten eingedrungen, hätte er sich austoben können: Nicht-öffentliche Informationen sind als Admin einsehbar und auch veränderbar.
„Das Anlegen von Inhalten, das Bearbeiten von vorhandenen Datensätzen und auch das Hochladen von Dateien auf den Server war ohne jegliche Überprüfung von Berechtigungen möglich. Für einen potenziellen Angreifer eine Einladung auf dem Silbertablett – Für die Betroffenen der absolute Albtraum“,
schreibt der Blogger, der bereits unzählige offizielle Sicherheitslücken aufgedeckt hat, nun auch beim AMS. Erst kürzlich machte er auch auf ein Datenleck bei den deutschen „Grünen“ aufmerksam.
Ein „bösartiger Angreifer“ hätte etwa rechtsverbindliche Richtlinien manipulieren können. Ebenso wäre es möglich gewesen, „sämtliche Mitarbeiter gezielt mit Malware zu versorgen oder gar Ransomware unbemerkt auf deren Rechner zu bringen“. Es sei auch vorstellbar, dass man einen Angriff durch eine mögliche Verbindung der Systeme von Institutionen auch Regierungsrechner ausweiten hätte können.
Weitere Lücken
Der IT-Experte informierte Arbeitsminister Martin Kocher (ÖVP) über die gravierende Sicherheitslücke. Arbeitsminister Martin Kocher antwortete mit einer themenverfehlenden Antwort, unter anderem mit: „Wir können Ihnen versichern, dass für den Betrieb der IT-Anwendungen des AMS effektive Prozesse aufgesetzt sind, die eine laufende Erhebung und Bewertung von Sicherheitsrisiken in der verwendeten Applikationslandschaft ermöglichen und durch die eine kontinuierliche Aufrechterhaltung und Verbesserung der IT-Sicherheit gewährleistet wird.“
Diese Antwort habe Frenzel zum „Schmunzeln“ gebracht. Möglicherweise war die Sicherheitswarnung gar nicht bis zum Kocher vorgedrungen, dürfte aber an das AMS weitergeleitet worden sein. Denn diese meldete sich wenige Tage später bei Frenzel, wie dieser ZackZack schilderte. Im AMS nahm man die Sache ernster: Die IT-Abteilung suchte den Kontakt zu Frenzel und schloss die Lücke nach kurzer Zeit.
So die Darstellung Frenzels, die er gegenüber ZackZack auch durch Belege untermauert. Das AMS bestreitet die Sicherheitslücke dagegen vehement. Gegenüber ZackZack leugnet man die mangelhafte IT-Sicherheit. So seien Frenzels Hinweise „dermaßen unkonkret“ gewesen, „dass sie unbrauchbar waren“. Es wäre „falsch“, dass eine Lücke geschlossen worden sei. Tatsächlich wirkt der Hinweis, der an das AMS weitergeleitet wurde, ganz und gar nicht „unkonkret“.
“Unkonkret” wirkt der Hinweis des Experten ans AMS nicht.
Zwei Tage später dürfte die Lücke geschlossen worden sein, die es laut AMS nie gegeben hätte. Frenzel hat weitere Sicherheitslücken entdeckt, doch das AMS habe sich weder nach der Schließung der Lücke, noch zu weiteren Problemen im System gemeldet. Weil das AMS die Sache nun gegenüber ZackZack gänzlich leugnet, hat der IT-Experte kein Interesse mehr, Informationen weiterzugeben.
Er kann die „Leugnung“ des AMS kaum fassen. Die IT-Sicherheit sei nicht „am höchsten Level“ sondern „war vielleicht vor 20 Jahren mal auf Amateur-Level abgesichert und deckt größtenteils nicht einmal die Basics ab.“
(ot)
Titelbild: APA Picturedesk
