Datenleck in öffentlicher VerwaltungEthisches Hacken für mehr Datensicherheit

Öffentliche Verwaltungen müssten Datensicherheit großschreiben, denn sie hantieren mit sensiblen Daten von Bürger:innen. Das Beispiel einer Sicherheitslücke im Bürgerportal Schleswig-Holstein zeigt allerdings, dass viele Schrauben noch falsch eingestellt sind.

Matthias Marx
Matthias Marx, Hacker im Chaos Computer Club. – C. Kurz

Cyberangriffe auf öffentliche Einrichtungen sind eine reale Bedrohung wie die Fälle in Anhalt-Bitterfeld oder Potsdam zeigen. Auf dem Spiel steht die Sicherheit privater sensibler Daten von Bürger:innen oder Kund:innen. Sie zu schützen machen sich ethische Hacker:innen zur Aufgabe, die in ihrer Freizeit und unentgeltlich nach Sicherheitslücken in Unternehmen oder öffentlichen Verwaltungen suchen und diese den betroffenen Stellen melden. Einer von ihnen ist der IT-Sicherheitsforscher Matthias Marx.

Zuletzt sorgte er zusammen mit den Hackern starbug und snoopy mit der Datenrecherche „Hiide and Seek“ international für großes Medieninteresse. Die drei fanden heraus, dass sensible Daten wie Fingerabdrücke und Iris-Scans ungeschützt waren, die das US-Militär in Afghanistan gesammelt hatte. Die Geräte des Militärs wurden samt Daten auf Ebay verkauft, ohne Rücksicht auf die Gefahr für die Betroffenen. Als Experte für Biometrie kämpft Marx in der europaweiten Kampagne ReclaimYourFace gegen die Massenüberwachung anhand biometrischer Daten und klärt in Vorträgen darüber auf.

Regelmäßig macht sich Marx mit anderen vom CCC auf die Suche nach Sicherheitslücken, um sie zu finden, bevor es „andere Interessierte tun, deren Scripte schneller zuschlagen können und deren primäre Motivation nicht die Beseitigung der Lücken ist“, wie sie erklären. Dabei geht es nicht immer um Riesendatenmengen. Marx‘ Motivation ist nicht der große Enthüllungseffekt, den eine Veröffentlichung einer Sicherheitslücke haben kann. Ihm geht es darum, Bewusstsein für den Umgang mit Daten zu schaffen, vor allem bei jenen, die mit den Daten anderer hantieren.

So auch bei seinem Fund einer Sicherheitslücke im Bürgerportal Schleswig-Holstein. Hier waren die Daten von 1.000 Bürger:innen dem Zugriff potentieller Angreifer ausgesetzt. Die Projektverantwortlichen haben die Lücke inzwischen geschlossen, nachdem Marx sie unmittelbar nach seinem Fund darüber informierte. Doch es bleiben Bedenken, ob die Sicherheitsvorkehrungen ausreichend sind.

„Öffentliche Daten nützen, private Daten schützen“

Wie Marx auf das Datenleck stieß und wie er daraufhin vorging, erinnert an einen der Grundsätze des CCC: Öffentliche Daten nützen, private Daten schützen. Das Bürgerportal Schleswig-Holstein ist ein Projekt des Bundeslandes, das zur Umsetzung des Onlinezugangsgesetzes (OZG) gehört. Danach haben die einzelnen Länder Portale, über die sich Bürger:innen ein Konto anlegen können, um Verwaltungsleistungen online in Anspruch zu nehmen. Über das Portal Schleswig-Holstein sollen Bürger:innen beispielsweise in Zukunft online aus der Kirche austreten oder einen Hund für die Hundesteuer anmelden können.

Schleswig-Holstein entwickelt das Portal auf Landesebene als modulbasierte Architektur. Die Kommunen können es jeweils in ihre Webseite integrieren und in einer Beta-Version des OZG-Shops des Landes nach Bedarf Dienste bestellen. Wollen sich Bürger:innen einer bestimmten Gemeinde ein Service-Konto einrichten, registrieren sie sich über das Bürgerportal des Landes und werden zu ihrer Gemeinde weitergeleitet.

Aufmerksam wurde Marx auf das Projekt, weil es wie im OZG vorgesehen einen Open-Source-Ansatz verfolgt. Öffentlich ist der Code aber noch nicht. Auf Twitter erklärte Dataport, man schaffe aktuell „die nötigen Grundlagen, um den Quellcode im kommenden Jahr auf dem Gitlab-Server des Landes zu veröffentlichen“. Dataport ist einer der größten öffentlichen Dienstleister, der maßgeblich an der Umsetzung des OZG beteiligt ist. Während der öffentliche Dienstleister IT-Verbund Schleswig-Holstein (ITVSH) die Projektleitung für das Bürgerportal übernommen hat, sind technisch die Staatskanzlei des Bundeslandes, ein externer privater Dienstleister und Dataport verantwortlich.

Damit Verwaltungen ihre Leistungen digital anbieten können, erheben sie sensible Daten der Nutzer:innen und speichern sie in Datenbanken. Als Marx die Lücke fand, hätte er Namen, Adressen und Bezahlinformationen von gut 1.000 Bürger:innen einsehen können. Doch zum ethischen Hacken gehört es auch, das Einblicknehmen in private Daten so gut es geht zu vermeiden. Er ging nur soweit ins System, bis er das Ausmaß der Gefahr einschätzen konnte, die durch die Sicherheitslücke verursacht wurde.

Responsible Disclosure

Das zeigt, wie groß das Potential von Hacker:innen ist: einerseits das Potential zu schaden, andererseits das Potential zu beschützen. Ethische Hacker:innen kommen Menschen zuvor, die mit sensiblen Daten Kasse machen, indem sie sie zum Beispiel über Marktplätze im Darknet weiterverkaufen.

Daher ist es nicht nur wichtig, dass ethische Hacker:innen Sicherheitslücken finden, sondern sie auch verantwortungsvoll den zuständigen Stellen melden, um sie so schnell wie möglich zu schließen. Ein solches Vorgehen heißt „responsible disclosure“. Es bedeutet, dass diese Stellen vorab gewarnt werden und genügend Zeit bekommen, die Lücke zu schließen, bevor Hacker:innen damit an die Öffentlichkeit gehen. Denn es geht in erster Linie darum, die Daten derjenigen zu schützen, die sie nicht selbst schützen können und die oftmals nichts davon erfahren, dass ihre Daten der Gefahr des Missbrauchs ausgesetzt waren.

Die Reaktionen von Unternehmen und öffentlichen Stellen auf die Meldung einer Sicherheitslücke fallen dabei keineswegs immer positiv aus. Vielmehr, erzählt Marx, müssten ethische Hacker:innen fürchten, dass von offizieller Seite der Hackerparagraph bemüht wird, der keinen Unterschied macht zwischen jenen, die in Systeme eindringen, um sich zu bereichern, und anderen, die Systeme prüfen, um Lecks zu finden und Gefahren zu bannen. Ethische Hacker:innen gehen damit für sich selbst ein hohes Risiko ein und müssen stark abwägen, wem sie wieviel ihrer Arbeit preisgeben.

Laut Marx gestehen sowohl viele staatliche Stellen als auch private Unternehmen der Datensicherheit nicht den Stellenwert zu, der angemessen wäre. Daher macht er weiter. Als Reaktion des ITVSH auf Marx‘ Meldung bestätigt der öffentliche Dienstleister gegenüber netzpolitik.org, dass er „den Vorfall als positives Beispiel für die Zusammenarbeit von Zivilgesellschaft und Staat beim Thema IT-Sicherheit und als wichtigen Beitrag zur IT-Sicherheit staatlicher Angebote“ bewertet.

Ein Datenleck im Bürgerportal

Für ethische Hacker:innen ist eine solche Aussage ein bestärkendes Signal. Denn immerhin war der entscheidende Fehler vermeidbar, mit dem sich Marx Zugang ins System verschaffen konnte. Er hätte den Verantwortlichen auffallen müssen. Ein sogenannter Symfony Profiler einer Entwicklungsumgebung hing am Internet. Das ist ein Entwicklungswerkzeug für PHP. Die Hersteller warnen allerdings die Nutzer:innen ihres Produkts davor, diesen Profiler in Produktivumgebungen zu aktivieren. Das würde in jedem Fall zu gravierenden Sicherheitsschwachstellen im jeweiligen Projekt führen.

Zwar war nicht der Profiler einer Produktivumgebung am Netz. Doch auch die Verbindung zum Internet über die Entwicklungsumgebung war hoch problematisch. Das Werkzeug gewährt nämlich den Zugriff auf Umgebungsvariablen und erfasst Formulareingaben. Dazu zählen auch Daten aus Login-Formularen, die im Klartext gespeichert werden. So stieß Marx auf die Zugangsdaten eines Administrators.

Er stellte fest, dass die Zugangsdaten des Administrators zudem im Staging und auch im Produktivsystem funktionierten. Auf diese Weise konnte er ins Backend gelangen, über das er 80 Bürgerportale und rund 1.000 Nutzer:innenprofile hätte einsehen können. Er registrierte sich als Bürger in dem Bürgerportal einer betroffenen Kommune. Seinen Account fand er im Backend wieder. Im Profil gab es Felder für Name, Adresse und Bezahlinformationen.

Marx beschreibt, dass die Bürger:innen in derselben Tabelle aufgelistet waren wie die Administrator:innen. Er hätte also bei seinem Profil ein Häkchen setzen können, das ihm mit seinem normalen Bürgerkonto Administratorrechte hätte verschaffen können. Doch das tat er nicht.

Vielmehr machte er sich Gedanken, wen er kontaktieren sollte, an diesem späten Freitagnachmittag. Eine der ersten Anlaufstellen für Menschen, die Sicherheitslücken melden wollen, ist das CERT, das Computer Emergency Report Team. Das Notfallteam des CERT Nord war allerdings an diesem Freitag nur bis 15 Uhr erreichbar. Da die Lücke über einschlägige Suchmaschinen für potentielle Angreifer aber schon auffindbar war, drängte die Zeit.

Lücke geschlossen

Ein Mitarbeiter von Dataport empfahl Marx auf Anfrage, sich an die Abteilung für Digitalisierung der Staatskanzlei Schleswig-Holstein zu wenden sowie an den öffentlichen Dienstleister ITVSH. Zufällig erwischte Marx schließlich einen Mitarbeiter des CERT Nord, weil der eine Rufumleitung eingerichtet hatte. Auf Marx‘ E-Mail an den externen Dienstleister schließlich reagierte dieser noch am Freitagabend und nahm den Symfony Profiler vom Netz.

Sein Angebot, über die bloße Meldung hinaus zu helfen, haben die Verantwortlichen im Nachgang in mehreren Videocalls und Telefonaten wahrgenommen. Dort sollte er schildern, wie er die Lücke fand. Und er sprach Empfehlungen aus, wie man die Sicherheit zusätzlich verbessern könnte.

Auf Anfrage gibt der Dienstleister ITVSH gegenüber netzpolitik.org an, dass Marx sehr kooperativ und professionell aufgetreten und für sämtliche Rückfragen ansprechbar gewesen sei. Nach der Deinstallation des Symfony Profilers habe man sämtliche Passwörter der Admin-Accounts geändert.

Was man besser machen könnte

Einige Maßnahmen für die Datensicherheit haben die Verantwortlichen bereits umgesetzt oder in ihre Planung aufgenommen. Eine der grundlegenden Forderungen von Marx ist die Implementierung einer Mehr-Faktor-Authentifizierung vor allem für mächtige Accounts. Der IT-Verband gibt an, inzwischen eine Zwei-Faktor-Authentifizierung auf Test-Systemen des Herstellers eingerichtet zu haben. Die Vorbereitungen für die Freischaltung auf dem Stage- und Produktivsystem bei Dataport würden bereits laufen.

Ferner kritisiert Marx das Rechtemanagement. Über den Account, mit dem er sich ins Produktivsystem einloggte, hätte er Daten registrierter Bürger:innen einsehen können. Nutzername und Passwort hätten dafür ausgereicht. Der IT-Verband hat angegeben, dass nur noch technisch verantwortliche Mitarbeiter:innen bei Dataport Nutzer:innendaten einsehen könnten.

Auf eine strukturelle Schwäche scheinen die Verantwortlichen allerdings bislang nicht reagiert zu haben: die Anbindung der drei Systemebenen ans Internet. Laut Marx hingen zwei der Ebenen am Netz, was ein großes Sicherheitsrisiko birgt: die der Administratoren und die der Mitarbeiter in den öffentlichen Verwaltungsstellen. Er empfiehlt, dass Entwickler:innen nur über einen lokalen Server oder aus einem ganz bestimmten Netzbereich Zugang zum System erhalten sollten. Ähnlich verhalte es sich mit den Angestellten aus der Verwaltung. Für ihre Arbeit bräuchten sie nur den Zugang zu ihrem jeweiligen Amt. Der könnte über ein Intranet erfolgen. Selbst wenn es fürs Homeoffice notwendig würde, über einen Internetzugang auf die Datenbank zuzugreifen, sollten sie hier einen VPN-Client zwischenschalten. Das wäre für Angreifer eine weitere Hürde.

Auch von der zentralen Datenhaltung innerhalb eines Bundeslandes rät Marx dringend ab. Ein Land könnte vielmehr zentral Instanzen zur Verfügung stellen, die unabhängig voneinander operieren, aber auch miteinander. Die Daten sollten dezentral bei den jeweiligen Gemeinden liegen. Über Schnittstellen sollten sich Systeme aber auch austauschen können, damit Daten bei Bedarf auch an anderer Stelle abgerufen werden können. Die Interoperabilität sollte erhalten bleiben. Mit der dezentralen Lösung hätten Angreifer dementsprechend Zugriff auf viel kleinere Datenmengen.

Gemischte Gefühle

Im Rückblick habe Marx gemischte Gefühle. Denn die Verantwortlichen hätten zwar einerseits schnell reagiert und die Lücke geschlossen. Andererseits sei das Bürgerportal Schleswig-Holstein „kein Bastelprojekt“. Marx sei überrascht gewesen, ein Tor zu finden, das so weit offen steht. Sowas komme zwar vor, noch viel zu häufig. Viele der betroffenen Stellen hätten zu wenig Bewusstsein für die Verletzbarkeit der Daten, mit denen sie hantieren. Es komme aber nicht häufig vor, „dass man so durchmarschieren kann“, sagt Marx.

Generell hätten die Verursacher von Datenlecks kaum mit Folgen zu rechnen. Sie könnten an die Datenschutzbehörde herantreten, den Fall melden und dann tatsächlich oder vorgeblich anhand der Logdateien beweisen, dass niemand sonst Zugriff auf die Daten hatte. Da müssten die Betroffenen nicht einmal benachrichtigt werden. Eine Benachrichtigung der Nutzer:innen des Bürgerportals kann Marx ausschließen, da er selbst als Nutzer eine E-Mail hätte erhalten müssen.

Und das sind nur die Fälle, wo Sicherheitsforscher:innen an betroffene Stellen herantreten und Lücken melden. Die Zahl an Fällen insgesamt, wo Daten abhanden kommen und über kurz oder lang missbraucht werden, sei hoch.

Die Leidtragenden sind in der Regel die Personen, deren Daten abhanden gekommen sind. Werden sie missbraucht, können die Betroffenen kaum feststellen, an welcher Stelle Angreifer ihre Daten abgezogen haben.

Was Marx an Verbesserungen vorschlägt, hat nichts mit Raketenwissenschaft zu tun: Gerade die Zwei-Faktor-Authentifizierung ist mitnichten eine neue oder besonders innovative Lösung. Auch die Einsicht, dass nicht jede Ebene eines Systems am Internet hängen muss, ist keineswegs neu. Beides hätte auch im Bürgerportal Schleswig-Holstein von Anfang an implementiert werden müssen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Der Artikel offenbart genau das, was ich in diesem Link

    https://netzpolitik.org/2023/online-ausweis-keine-strategie-bei-der-elektronischen-identitaet/#comments

    kommentiert hatte. Überträgt man das oben Dargestellte auf unsere Regierung, die EU und deren „Ausweis/Wallet“-Vorhaben, kann einen angesichts des Nicht-Wissens unserer Behörden über IT-Sicherheit, deren Implementation in wichtige Systeme, und die darausfolgenden Konsquenzen nur das Gruseln überkommen.

    Wir brauchen mehr Marxe, die solche Missstände aufdecken! Mach weiter so!

    1. Leider ist die Strafverfolgung und die nicht vorhandene Einsicht bei staatlichen und privaten Behörden und Unternehemen nicht vorhanden. Dummheit überwiegt. So habe ich schon mehrmals darauf hingewiesen das Gesundheitsdaten nicht sicher mit der Postleitzahl des Empfängers verschlüsselt sind. Außer Spott und dummen Sprüchen jedoch nichts zurück bekommen. Auch habe ich ein Gerät das Gesundheitsdaten erfasst und diese über eine App direkt an den Hersteller verschickt. Ich denke das das nicht OK ist. Meine Daten und sie sollten nicht einfach angreifbar sein.

      1. „private“ Behörde wäre dann so etwas wie die österreichische GIS GmbH (Pendant zur GEZ)? Die haben Meldedaten ALLER Bürger:innen an ein Subunternehmen gegeben, welches die Datenbank ungeschützt 1 Woche im Netz stehen gelassen hat und von einem „Hacker“ erbeutet/verkauft wurde. Täter wurde inzwischen gefasst, medialer Aufschrei im Moment sehr groß (damals wurde versucht, es „unter den Tisch zu kehren“) und Strafe wurde keiner verhängt da die DSGVO hier entschärft wurde (Zahlung würde nur von einer staatlichen Tasche in die andere wandern) Dabei gibt es noch zahlreiche andere, öffentliche Register die unauthentisiert abgefragt werden können (Handelsregister wurde inzwischen entschärft) Schöner neuer europäischer Datenschutztag

  2. OK, OK, i get it; wir brauchen mehr Bewusstsein, das personenbezogene Daten geschützt werden müssen, weil man sonst die Personen daraus rekonstruieren kann.

    Was ist jetzt der Unterschied zur Begründung des Volkszählungsurteil 1983? Also vor 40 Jahren?

    These: Wir brauchen erheblich mehr Leute die Lücken schließen.

  3. Ich ergänze: Wir brauchen vorweg die (politische) Bereitschaft, solche Lücken gar nicht erst entstehen lassen zu WOLLEN.

    „Was ist jetzt der Unterschied zur Begründung des Volkszählungsurteil 1983? Also vor 40 Jahren?“

    Auch wenn ich damals noch nicht diesen Planeten bevölkert hatte:

    Damals galt nach meiner Einschätzung die informelle und individuelle Selbstbestimmung noch etwas und war juristisch als hohes Gut definiert. Heute wird sie zunehmend neoliberalen Interessen geopfert, nach dem allseits bekannten Motto: „(Deine) Daten sind das neue Gold. Aber nicht, wenn Du, lieber Bürger, über sie bestimmst, sondern wir…“.

    Die Jurisprudenz beugt sich also heute der Ökonomie. Das ist der Unterschied.

  4. Eins weitergedacht… und erinnere: mussten die letzten drei nicht Spenden sammeln, um die mit den Aktionen zusammenhängenden Klagen abzuwehren?

    Wie sieht die Bilanz im Moment aus?

  5. Es war vor kurzem in den Medien der Betrag von 10% eines Unternehmensumsatzes müsste eigentlich in die IT-Sicherheit fließen um die IT-Infrastruktur, wozu ja vor allem gespeicherte Daten gehören, zu schützen. Hinter dem Zahlenbetrag sind zwar ganz eindeutig auch Lobby-Interessen zu erkennen aber umgemünzt auf den Staat, der von allen die meisten Daten hat (und ein nur lauwarmes Interesse zu haben scheint, die Datenprofile seiner Bürger bei sich zu begrenzen) ist diese Zahl nicht mehr so unrealisitisch, nimmt man die weiter voranschreitende Digitalisierung zu Grunde.

    Kurzum, wie verhält es sich mit dem Anteil der IT-Sicherheit am Haushalt für die Verwaltungen in Deutschland?
    Beim Bund sind es dort für das Jahr 2022 im Ressort Inneres gerade einmal 7 Millionen Euro für das Personal aber 2,3 Milliarden Euro für sächliche Verwaltungsaufgaben. Ich habe das Gefühl, dass der Bund nur dirigieren will und die Umsetzung Dienstleistern überlässt. Man muss doch hier keinem erklären, welche Probleme damit auftreten. Mich würde es mal interessieren, wie es in ganz Deutschland dazu aussieht.

  6. Wenn die Chat GPT nutzen würden, wäre das nicht son Pfusch. Die Behörden schalten auch da nicht schnell genug. Wenn die Infoviedos keine Fakes sind, was das Ding an Programierfähigkeiten und eigene Fehlerfindung auf Anweisung Fehler zu suchen liefert, Könnte man mit einem fähigen Anwendungentwickler als Aufgabengeber und Prüfer der K.I.und locker jetzt schon 100 oder mehr Anwendungsentwickler und auch andere Fachleute ersetzen. Man muss ja an sich nurnoch der K.I. sagen: „Prüf Sicherheitslücken.“ Wobei man sagen muss, das natürlich Fachberichte wie dieser, nötig sind die K.I. auch zu trainieren was Sicherheitslücken sind. Mit PHP umzugehen ist eventuell sogar einfacher für die K.I. als Datenschutz und Persönlichkeitsrecht verstehen zu lernen und was das in korrekter Programierung zu suchen hat, diese zu schützen. Ähnlich sieht das auch für Hacker aus,ich sage mal das man an sich blöd aus der Wäsche guckt bald ohne K.I. zu arbeiten gegen jemanden der eine super K.I. nutzt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.