Hacked: Bundesministerium für Gesundheit (BMG) beseitigt Sicherheitslücke in „Vorzeigeprojekt“

Hach, was wäre so eine Woche am Rechner, ohne nicht mindestens eine Hand voll Sicherheitslücken auf Systemen der Regierung zu finden. Wer meine letzten Artikel gelesen hat und die Aussage „ich könnte das den halben Tag machen“ übertrieben oder gar als Scherz empfand, dem kann ich nun klar und deutlich erklären, dass es definitiv nicht übertrieben und schon gar kein Scherz war. Nein… Mein Eindruck bezüglich der technischen Standards und der IT-Sicherheit unserer Bundesregierung, verschlechtert sich fortlaufend. Es entwickelt sich schon eher eine Art Fremdschämen in Anbetracht des politischen Bullshit-Bingo, mit absurden Wahlkampf-Parolen, die man beim besten Willen nicht mehr ernst nehmen kann. Diese krankhafte Gier nach der unfassbar wichtigen Digitalisierung (wie haben wir das eigentlich bisher immer geschafft, so ganz ohne?), bei gleichzeitig völliger Inkompetenz und Null-Plan-Politik, ist für mich kein Wahlkampf mehr, sondern einfach nur noch peinlich. Ich glaube jeder der sich in meiner Branche beschäftigt oder allgemein mit der IT-Welt befasst, der wird mir zustimmen.

Hm… Hach ja, wer das hier gerade liest, könnte glatt den Eindruck bekommen, dass das Nachfolgende etwas unverblümter als sonst sein könnte. Nunjaaaa, das könnte tatsächlich der Fall sein. Aber ich werde versuchen, zumindest halbwegs sachlich zu bleiben. Ich meine, es betrifft ja nur so in etwa 82 Millionen Menschen, wenn demente „Neuland-Politiker“ die große Digitalisierung planen und dabei mal wieder nur die Geldkoffer im Kopf haben. Ist ja halb so wild. Da muss man sich das nicht so zu Herzen nehmen und kann ganz entspahnt bleiben. Selbst dann, wenn man als Experte bereits jetzt mit einer blanken Katastrophe rechnet.

Und nein, es liegt sicherlich nicht daran, dass es an Fachkräften im Bereich IT-Sicherheit innerhalb der Regierung fehlen würde. Da sitzen wirklich hervorragende Leute, die einen guten Job leisten. Ich durfte in den letzten Wochen sogar eine weitere Auswahl davon „kennenlernen“ und bin sehr positiv überrascht. Das bringt allerdings recht wenig, wenn es an der Basis oder auch in den jeweiligen Projekten hapert und beispielsweise beauftragte IT-Dienstleister einen Murks veranstalten, der dann – wie im Fall der CSU – für das Auffinden von rund 800 Zugangsdaten von Abgeordneten oder – wie in anderen Fällen – sogar für Zugang zu internen Bereichen der Verwaltung, samt Verschlussakten sorgt (mehr dazu aber später in einem anderen Artikel, der einen Skandal offenbaren wird).

Eine angespahnte Situation bei der Digitalisierung, durch sinnloses Herumsödern der Zeugen Coronas

Während sich die Politiker mit ihren feuchten Träumen einer digitalen Zukunft beschäftigen und diese dank P(l)andemie noch heftig anfeuern können, sich ein Markus Söder als göttlicher Führer der bayerischen „High-Tech Agenda“ positioniert und sich so ein Herr Spahn seine eigenen Ermächtigungsgesetze ala 1933 in den Schoß zaubert, zeitgleich mit ganz töfte Großkonzernen über den Austausch sensibler Daten aller Bürger verhandelt, weil es ja ach so toll ist, mittels Technologie und „Big Data“ ganz neumoderne Dinge im Gesundheitsbereich zu realisieren, obwohl der Typ nicht einmal fähig ist, Stofffetzen im Ausland zu kaufen, ohne sie auf dem Transportweg zu verlieren, braucht es für einen erfahrenen Hacker gerade einmal eine halbe Kippe lang und zweimal Kopfkratzen, um das vermeintliche Konzept der „sicheren Digitalisierung“, eindrucksvoll in der Luft zu zerpflücken. Insbesondere wenn es um das neue „Vorzeigeprojekt“ des Bundesministerums für Gesundheit (BMG) geht, ist das dann natürlich eine besonders unpraktische – eigentlich schon ziemlich angespahnte – Situation. Und gerade weil es ein so grandios beworbenes Projekt des Herrn Jens Spahn ist, bei dem – wenn ich es richtig verstanden habe – sogar Google eine Rolle als Partner spielt, in den letzten Wochen aber ein paar unschöne Sicherheitslücken bei der Regierung bekannt wurden, finde ich es sogar peinlich vom lieben Jens, dass er da nicht mehr Elan gezeigt hat. Ich meine, so ein Penetrationstest dürfte ja eigentlich kein Problem sein. Besonders dann, wenn man bereits wirklich fähige Leute im BSI sitzen hat, die dafür eigentlich optimale Ansprechpartner wären. Wenn diese Art „Projektarbeit“ bei diesem Vorzeigedingsbums vom BMG, auch nur ansatzweise dem entspricht, was man bei der „ultimativen Digitalisierung“ an technischer Kompetenz an den Tag legt, dann dürften sich die „Blackhats“ auf der dunklen Seite schon einmal ausreichend Festplatten beim nächsten „Black Friday“ ordern. Denn dann wird im „digitalisierten Deutschland“ mit „Big Data“, ein Paradies für Darknet-Datenhändler entstehen.

„He-Man“ regelt – Vom Tweet zum Hack in nur 2 Minuten

Wer mich schon länger kennt und wem „He-Man“ ein Begriff ist, der dürfte bereits ahnen, dass die vergangenen Tage für heftiges Gelächter gesorgt haben. Für alle Leser die mich noch nicht so lange kennen: Ich war vor einigen Jahren – als es das Portal „Gulli“ noch gab – immer wieder zum Thema geworden, weil ich „Nyan Cat“ und alternativ „Anon Cat“ oder auch mal „He-Man“ mittels XSS oder anderen Schwachstellen, auf diverse Webseiten platziert hatte. Ab und zu habe ich auch mal eine kleine Runde „Super Mario“ oder auch „Nyan Cat“ (als Browser-Game) gespielt. Jedoch nicht auf meiner eigenen Website, sondern auf Portalen, wie dem des Harvard Instituts oder beispielsweise der Website von Mc Donalds, um durch den eingeschleusten Code, die Schwachstelle zu demonstrieren. Und beim BMG hat das irgendwie noch gefehlt. Ich sehe deshalb Lars (alias) „Ghandy“ – einen der ehemaligen (und mein Favorit) Autoren bei Gulli – schon lachend von seinem Stuhl fallen, wenn er diesen Artikel hier gelesen hat. Übrigens kann ich seine Artikel bei Tarnkappe.info nur empfehlen. Nun gut…

„Wer Gesundheit googelt, soll auf unserem Portal landen. gesund.bund.de soll DIE zentrale Anlaufstelle für verlässliche Gesundheitsinformationen im Internet werden.“ @jensspahn bei der gemeinsamen Pressekonferenz mit @GoogleDE.

So lautete das Gezwitscher des Accounts unseres Bundesministeriums für Gesundheit (BMG) – also der bunten Pony-Wiese unseres allseits geliebten Jens Spahn, der durch seine umfassende Bildung im Bankwesen, einen faszinierenden Quereinstieg als Gesundheitsminister ablieferte. Ich muss zugeben, dass ich den „eisernen Maskenmann“ nicht sonderlich gut leiden kann, was vielleicht auch daran liegt, dass er offensichtlich eine ganze Nation für dumm verkauft und das politische Rednerpult offensichtlich mit einem Lobby-Rundtisch der Pharmaindustrie, samt schwarzen Koffern verwechselt. Aber das lasse ich nun nicht sonderlich in die Bewertung der IT-Sicherheit unserer Regierung oder in diesen Artikel einfließen. Er teilt sich in meinen Augen – und das ist nun lediglich meine Meinung – einfach einen Sitzplatz auf der von deutschen Politikern sehr begehrten Lobby-Bank, direkt neben dem cholerisch veranlagten Södolf aus dem schönen München, der vermutlich immer noch auf der Suche nach einem sicheren Passwort ist, sollte er nicht gerade damit beschäftig sein, den Hengst zu markieren oder mal wieder kleine Kinder in Angst zu versetzen.

Genug ungebändigten „Hass-Sprech“ – Zurück zum Thema

Bevor ich nun weiter unseren geliebten Jens Spahn kritisiere und damit provoziere, dass auch mich ein „Einschüchterungsversuch“ aus dem Hause Spahn erreicht, wie es ja bei gewissen Youtubern schon der Fall war, komme ich zurück zum Thema. Wo war ich stehen geblieben? Achja, da war ja noch die Sicherheitsproblematik beim BMG, welche dafür sorgte, dass „He-Man“ mal wieder regeln musste. Hierzu kam es durch den oben erwähnten Post des Bundesministeriums für Gesundheit auf Twitter, welchen ich vor zwei Tagen – also am 09.11.2020 – entdeckt hatte. Ich war neugierig, welche Plattform man da nun gezaubert hatte. Immerhin scheint ja sogar Google eine Rolle im Projekt zu spielen, weshalb ich davon ausging, dass man da mal was richtig cooles in die Welt gesetzt hat. Und weil ich ohnehin gerade eine kurze Raucherpause eingelegt hatte (ja, ich rauche wieder… Schande über mein Haupt), habe ich es mir nicht nehmen lassen, mal spontan ein paar Dinge „auszuprobieren“. Ich meine, so ne töfte multifunktionale und hochmoderne Plattform, die man sich als innovatives Werbeschild für „digitale Gesundheitsfragen“ im Rahmen einer Regierung mit astronomischen Zielen zur Digitalisierung und als DIE Anlaufstelle schlechthin, auf den Server nagelt, bei der sich sogar Größen „Google“ engagieren, sollte doch bis ins feinste Detail mit strahlend perfektem Programm- und Quellcode, die lüsterne Neugier eines jeden Webentwicklers geradezu befriedigend frohlocken lassen. Da musste ich einfach einen tieferen Blick wagen, als Oma Hilde mit ihrem Großtasten-Smartphone es tun würde.

Ein paar „individualisierte“ Requests und etwas gekonntem „Webbrowser-Voodoo“ später war es dann auch soweit. Da saß ich also am Rechner, betrachtete das neue spahn’sche High-Tech Vorzeigeprojekt, welches nun inhaltlich wie technisch eher nicht so wirklich als Innovation auffallen dürfte, gucke in den geladenen Quelltext meines zuletzt übersandten Requests mitsamt dem in Parametern beigefügten Code des „stürmischen“ Teufels und stellte fest, dass die Plattform sogar so funktional ist, dass man die eigentliche Funktionalitäten um ganz eigene Funktionalität erweitern kann. Kurz gesagt und besser verständlich: Ich fand instant (innerhalb etwa 2 Minuten) eine Schwachstelle. Und direkt fielen mir wieder meine eigenen Worte ein, die ich immer wieder von mir gebe und in Artikeln schreibe. Ich meine die Gedanken bezüglich meiner „Bauchschmerzen“ beim Thema Digitalisierung. Denn „sichere Digitalisierung“ ist das schon einmal nicht. Und da das ja kein Einzelfall war, wird das Bauchgefühl nicht wirklich besser. Mein nächster Gedanke beschäftigte sich dann mit der Frage, ob ich das tatsächlich melden und den „Saftladen“ (entschuldigt diese individuelle Einschätzung) unterstützen soll oder ob ich mir ein kleines „Späßchen“ erlaube und die Problematik mittels vorteilhaft eingeschleustem Code demonstrieren sollte, so dass auch der Rest der Welt einen Eindruck von der potentiell zu erwartenden Sicherheit seiner bald digitalisierten Akte bekommt. Die Entscheidung war schwer, deshalb entschied ich mich dann einfach für Beides. ;o) Ein Video zur Demonstration gibt es weiter unten.

Das Potential solcher Schwachstellen ist ja bekanntlich sehr hoch und aufgrund der indirekten Angriffsweise bietet sich natürlich auch noch ziemliche Bequemlichkeit für Angreifer. In diesem Fall wäre die ausgemachte Schwachstelle ebenso sehr vielversprechend für böswillige Angreifer und erfolgsorientierte „Phisher“ gewesen. Immerhin schrieb ich einen Kommentar unter den Tweet des BMG und ergänzte diesen mit einem Link als Demonstration, welcher binnen kurzer Zeit rund 1000 Klicks brachte. Mal angenommen da wäre schädlicher Code ausgeführt worden, Malware verteilt oder ein Fake-Login integriert worden, wären dann binnen kürzester Zeit knapp 1000 Opfer. Und das bei einer Verteilung von 1-2 Links auf Twitter. Ich will gar nicht wissen, was einem Angreifer eine vorbereitete „Kampagne“ für eine stolze „Ernte“ erbracht hätte. Kannste dir nicht ausdenken. Aber okay… Ich war ja hoffentlich schneller fündig als die dunkle Seite der Macht.

Meldung an das CERT-Bund und blitzschnelle Reaktion

Da es mir bei meinen Fundstücken ja grundsätzlich um das Thema Sicherheit geht und ich da – auch wenn ich aus politischer und menschlicher Sicht, ziemliche Abneigungen gegenüber Spahn und seinem Gespann empfinde – keine Unterschiede machen möchte, habe ich zähneknirschend eine Meldung an das Cyber Emergency Response Team (CERT) im Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt. Und weil die Sache zum Teil auch ziemlich amüsant war, durfte natürlich eine Demonstration der Schwachstelle nicht fehlen. Früher hat den Job oft „Nyan Cat“ übernommen, aber beim BMG war das definitiv ein Fall für „He-Man„. ;o)

Das CERT reagierte wieder einmal sehr schnell und bereits wenige Stunden nach meiner Sicherheitsmeldung, kam die erste Rückmeldung zu diesem Fall. Man hatte die Zuständigen in der Zwischenheit über die Problematik informiert und bedankte sich freundlich für die Meldung der Schwachstelle, sowie für die „kurzweilige – wenn auch lange – Demo“ (das eingeschleuste Video ist eine 10-Stunden Version). Die Meldung hatte dann auch ziemlich schnellen Erfolg. Schon am Folgetag konnte ich die Beseitigung der Schwachstelle feststellen und wenig später bekam ich dann auch eine weitere Rückmeldung aus dem BSI, wo man mich über die Beseitigung informierte und sich nochmal sehr nett bedankt hatte. Auch teilte man mit, dass dem BMG von Seiten des BSI eine weitere Prüfung der Website angeboten wurde. Ich hatte dies in meiner Sicherheitsmeldung mit gutem Grund vorgeschlagen, da bei dem groben „Test“ auch andere Auffälligkeiten feststellbar waren, die möglicherweise sogar eine Code Injection ermöglichen könnten. Ist zwar nun „doof“, dass ich das hier einfach so schreibe. Aber ich gehe einfach mal aus, dass die im BMG schneller fündig werden, als die Netzwelt.

Auf jeden Fall war es wieder eine sehr kompetente Vorgehensweise von den „Kollegen“ im CERT. Wie schon in meinen letzten Artikeln hier im Blog, muss ich auch jetzt erneut meine Begeisterung aussprechen (und wer mich kennt weiß, dass das ne Seltenheit bei mir ist… haha…). Ich kann mich erinnern, dass es vor einigen Jahren noch etwas komplizierter war und auch ein wenig länger dauerte, Sicherheitslücken bei der Regierung zu melden. Und auch das Beseitigen gemeldeter Problemchen, hat schon einmal länger gedauert. Der liebe Lars (Ghandy) wird sich da bestimmt auch noch an einige Fälle aus früheren Zeiten erinnern. Die im BSI leisten da aber tatsächlich hervorragende Arbeit und haben dazu sogar noch sympathische Ansprechpartner mit Humor.

Vom BMG selbst kam bisher keinerlei direkte Reaktion, ein „Danke (du Arsch)“ oder gar anderes Lebenszeichen. Allerdings wundert mich das nicht sonderlich. Denn dort scheint man mich in etwa genauso lieb zu haben, wie es umgekehrt der Fall ist. Von daher kann ich darauf auch gerne verzichten. Und ohnehin ist man da ja mit der Bekämpfung einer tödlichen Seuche beschäftigt, die das Land weiter in Panik versetzt. Da kann man solch kostbare Zeit doch nicht für eine Nachricht an das niedere Volk verschwenden. Nein, alles gut.

Sorry Leute, auch ich muss hin und wieder unverblümt und knallhart sagen wie es ist

An der Stelle möchte ich mich bei meinen Lesern noch kurz für den „harten Ton“ und die sarkastischen Einlagen entschuldigen. Allerdings kann ich versichern, dass ich in Anbetracht der Tatsache, dass ich bei „BMG“ und „Spahn“ direk explosionsartige Verachtung empfinde und irgendwie eine Art Brechreiz in mir aufkommt, noch verhältnismäßig freundlich und sachlich geblieben bin. Künftige Artikel werden dann wieder etwas entspannter. Die Reise geht nämlich dann – mit kurzem Zwischenstopp und einem ausgereiftem Daten-Skandal der feinsten Sorte nahe der Grenze zu den Nachbarn – in Richtung Österreich, wo man demnächst auch ein wenig Arbeit beim Beseitigen von Schwachstellen haben wird.

Da kommen noch einige Artikel und es wird definitiv nicht langweilig, dafür Stück für Stück sicherer im Netz

Ich schreibe nämlich gerade an mehreren Reports, welche Österreichs Regierung, sowie wichtige Unternehmen in Österreich betreffen und deren Umfang und Brisanz teilweise als höchst kritisch zu betrachten sind. Die Meldungen gehen dann in Kürze raus (ich muss leider auch noch den normalen Alltag meistern, sorry) und finden dann hoffentlich zügig zu den Betroffenen. Da das „CERT Austria“ gestern bereits den ultimativen Reaktions-Rekord mit – festhalten Freunde – unglaublichen 3 Minuten (!) Antwortzeit geknackt hat, bin ich mir ziemlich sicher, dass es auch im schönen Österreich ziemlich schnell bei der Beseitigung von Schwachstellen zugehen wird. Ich

Wer den kommenden Beitrag dazu – und auch andere Artikel – nicht verpassen möchte, kann sich für meinen Newsletter anmelden. Und wer meine Motivation unterstützen möchte, darf diesen Beitrag natürlich sehr gerne teilen oder auch selbst darüber berichten. Spenden nehme ich auch gerne an. So eine einsame Insel wäre toll. Alternativ wäre ich auch mit einem „Cyber-Bunker“ zufrieden. Man soll ja nicht gierig sein.

Achso… bevor ich es wieder vergesse: Ich werde immer wieder mal gefragt, ob ich auch allgemein per Auftrag auf „Lückensuche“ gehe oder interessiert an Job-Angeboten bin, daher ne grundlegende Antwort dazu: Ja, na klar geht das. Im Grunde ist das ein (Lieblings-) Teil meines „Jobs“ als Unternehmer in dem Bereich. Allerdings geht das natürlich nur im legalen Umfang. Ob das nun private Projekte, irgendwelche Websites, Software, Apps oder auch ganze Infrastrukturen sind, ist dabei relativ. Ich bin da flexibel und in jedem Bereich recht erfahren. Details dazu kann man gerne per Mail erfragen. Gilt natürlich auch für die Regierung, wenn es denn der Stolz noch zulässt. Haha…

Ein Dank noch für die Erinnerung an meine persönliche „digitale Zukunft“

Ich wünsche allen Lesern ne entspannte Woche und möchte mich noch kurz bei den „Treuesten“ bedanken, die gestern an meinen jährlichen „Schalttag in Richtung Rentenalter“ gedacht und mir auf verschiedenen Wegen gratuliert haben. Dank euch habe ich mich daran erinnert, dass die Zeit immer näher rückt, in der ich mit dem Rollator zum Rechner schleichen darf. Hahaha… Aber bis dahin, gibt es noch viel zu tun.

In diesem Sinne…

Cheers!