Freitag, März 29, 2024

Massive Sicherheitslücke im AMS-System – AMS leugnet

AMS leugnet

Das AMS-IT-System dürfte massive Sicherheitslügen aufweisen. Eine dürfte, auf private Initative hin geschlossen worden sein, doch das AMS dementiert und sieht sein System auf dem “höchsten Stand”.

Wien, 10. August 2021 | Das IT-System des AMS dürfte grobe Sicherheitslücken aufweisen. Das gab der IT-Sicherheitsexperte Heiko Frenzel am Dienstag auf seiner Website bekannt. Über eine grobe Sicherheitslücke hat er das AMS informiert, die dann geschlossen wurde. Weitere Mängel schlummern aber offenbar noch immer im AMS-Netzwerk.

Massives Sicherheitsrisiko auf AMS-Schulungspage

Der bayerische Cyberprofi fand heraus, dass es für IT-Experten oder „Hacker“ sehr einfach wäre, sich zum Administrator auf der AMS-Schulungswebsite zu machen. Wäre jemand anderer mit bösartigen Absichten eingedrungen, hätte er sich austoben können: Nicht-öffentliche Informationen sind als Admin einsehbar und auch veränderbar.

„Das Anlegen von Inhalten, das Bearbeiten von vorhandenen Datensätzen und auch das Hochladen von Dateien auf den Server war ohne jegliche Überprüfung von Berechtigungen möglich. Für einen potenziellen Angreifer eine Einladung auf dem Silbertablett – Für die Betroffenen der absolute Albtraum“,

schreibt der Blogger, der bereits unzählige offizielle Sicherheitslücken aufgedeckt hat, nun auch beim AMS. Erst kürzlich machte er auch auf ein Datenleck bei den deutschen „Grünen“ aufmerksam.

Ein „bösartiger Angreifer“ hätte etwa rechtsverbindliche Richtlinien manipulieren können. Ebenso wäre es möglich gewesen, „sämtliche Mitarbeiter gezielt mit Malware zu versorgen oder gar Ransomware unbemerkt auf deren Rechner zu bringen“. Es sei auch vorstellbar, dass man einen Angriff durch eine mögliche Verbindung der Systeme von Institutionen auch Regierungsrechner ausweiten hätte können.

Weitere Lücken

Der IT-Experte informierte Arbeitsminister Martin Kocher (ÖVP) über die gravierende Sicherheitslücke. Arbeitsminister Martin Kocher antwortete mit einer themenverfehlenden Antwort, unter anderem mit: „Wir können Ihnen versichern, dass für den Betrieb der IT-Anwendungen des AMS effektive Prozesse aufgesetzt sind, die eine laufende Erhebung und Bewertung von Sicherheitsrisiken in der verwendeten Applikationslandschaft ermöglichen und durch die eine kontinuierliche Aufrechterhaltung und Verbesserung der IT-Sicherheit gewährleistet wird.“

Diese Antwort habe Frenzel zum „Schmunzeln“ gebracht. Möglicherweise war die Sicherheitswarnung gar nicht bis zum Kocher vorgedrungen, dürfte aber an das AMS weitergeleitet worden sein. Denn diese meldete sich wenige Tage später bei Frenzel, wie dieser ZackZack schilderte. Im AMS nahm man die Sache ernster: Die IT-Abteilung suchte den Kontakt zu Frenzel und schloss die Lücke nach kurzer Zeit.

So die Darstellung Frenzels, die er gegenüber ZackZack auch durch Belege untermauert. Das AMS bestreitet die Sicherheitslücke dagegen vehement. Gegenüber ZackZack leugnet man die mangelhafte IT-Sicherheit. So seien Frenzels Hinweise „dermaßen unkonkret“ gewesen, „dass sie unbrauchbar waren“. Es wäre „falsch“, dass eine Lücke geschlossen worden sei. Tatsächlich wirkt der Hinweis, der an das AMS weitergeleitet wurde, ganz und gar nicht „unkonkret“.

“Unkonkret” wirkt der Hinweis des Experten ans AMS nicht.

Zwei Tage später dürfte die Lücke geschlossen worden sein, die es laut AMS nie gegeben hätte. Frenzel hat weitere Sicherheitslücken entdeckt, doch das AMS habe sich weder nach der Schließung der Lücke, noch zu weiteren Problemen im System gemeldet. Weil das AMS die Sache nun gegenüber ZackZack gänzlich leugnet, hat der IT-Experte kein Interesse mehr, Informationen weiterzugeben.

Er kann die „Leugnung“ des AMS kaum fassen. Die IT-Sicherheit sei nicht „am höchsten Level“ sondern „war vielleicht vor 20 Jahren mal auf Amateur-Level abgesichert und deckt größtenteils nicht einmal die Basics ab.“

(ot)

Titelbild: APA Picturedesk

LESEN SIE AUCH

Liebe Forumsteilnehmer,

Bitte bleiben Sie anderen Teilnehmern gegenüber höflich und posten Sie nur Relevantes zum Thema.

Ihre Kommentare können sonst entfernt werden.

10 Kommentare

  1. IT ist grundsätzlich nicht sicher weil meist Idioten vor der Tastatur sitzen. Deswegen werden sie ja auch User genannt. Die benutzen die Dinger nur.

  2. AMS-IT-System und sicher 🙈.ein guter Witz 😁
    Das ersten Mal habe ich es durch Zufall vor ungefähr 10Jahren festgestellt.
    Unmengen von Datensätzen von Kunden Adressen, Geburtsdaten, Beruf, Ausbildung usw. über einen Tag frei zugänglich im Netz. Als ich es gemeldet habe bekam ich zur Antwort: “Do wear ma amoi schaun”🤣

  3. @ZackZack
    Danke für den verlinkten Artikel, einiges zu lernen da!

  4. Solange nur ja, neun von zehn Erwerbsarbeitssuchenden unter der Armutsgrenze dahin vegetieren dürfen, is doch eh ois leiwand.
    Und selbst dieses Niveau is manchen dieser Gutsherren noch immer viel zu hoch.

  5. Als AL wirst von halbseidenen Typen angerufen, die Deine Bewerbungsunterlagen aus dem AMS haben. Finanzmodelle und ur viel Geld zu machen. Datenschutz und AMS. Das ich nicht lache.

  6. Hihi!
    Leugnen, …erinnert mich an Otfried Preußlers “Hörbe aus dem Siebengiebelwald”. Der “Kleine Leugner, ein Charakter darin.
    Leugnen, die neue Trendsportart?
    Meine Äußerung hat nichts mit dem Artikel oder dem Auto Motor Sport Unternehmen zu tun.

Kommentarfunktion ist geschlossen.

Jetzt: Polizeiäffäre "Pilnacek"

Denn: ZackZack bist auch DU!