IT-Sec: Das bayerische Landesamt für Digitalisierung beseitigt Schwachstelle

Nach meinen Meldungen an diverse Parteien und Regierungen, sowie der kürzlichen Veröffentlichung des Artikels über die historischen Sicherheitslücken bei der CSU, gab es nun weitere Sicherheitsmeldungen an verschiedene Betreiber. Die beseitigte Sicherheitsproblematik beim bayerischen CSU-Landtag, bei der durch meine Meldung womöglich ein „Super-GAU“ verhindert wurde, hat in der Zwischenzeit ordentliche Wellen geschlagen. Diverse Medien berichteten über dieses grandiose Beispiel dafür, warum ich beim Thema Digitalisierung grundsätzlich Bauchschmerzen bekomme. Selbst bei der dpa war man interessiert an dem Thema, stellte kurz nach Veröffentlichung meines Artikels eine Presseanfrage und gab einen Artikel darüber heraus. Allgemein zeigte sich Empörtheit im Netz, bezüglich der katastrophalen Zustände in Sachen IT-Sicherheit, bei ausgerechnet der Partei, die sich „High-Tech Agenda“ auf die Fahne schreibt. Und schon kurze Zeit nach der Veröffentlichung meines Beitrags, wurde ich auf weitere Schwachstellen aufmerksam. Darunter auch beim Landesamt für Digitalisierung in Bayern. Also genau dort, wo man für meine Bauchschmerzen sorgt.

Das bayerische „Landesamt für Digitalisierung, Breitband und Vermessung“ (LDBV) wurde von mir am gestrigen Mittwoch, über eine Schwachstelle in deren Portal unter „virtuelles.bayern.de“ informiert. Es handelte sich um einen spontanen Fund, während meiner Recherchen zum Thema Digitalisierung in Bayern. Solche Funde sind natürlich keine Seltenheit und es kann überall zu derartigen Problemen kommen, ganz klar. Es unterstreicht jedoch wieder meine Aussagen bezüglich der „Bauchschmerzen“, wenn es um die Digitalisierung und damit um die Sicherheit der Daten von Millionen Bürgern geht.

Nächtliche Meldung und sehr schnelle Reaktion vom Bayern-CERT

Ich war ehrlich gesagt ein wenig beeindruckt von der Reaktion aus dem „Cyber Emergency Response Team“ (Bayern-CERT). Die Meldung der Schwachstelle ging an die Betreiber des Portals, sowie an zugehörige Kontakte (die in den Präsenzen hinterlegt waren) und auch an das Bayern-CERT im Landesamt für Sicherheit in der Informationstechnik (LSI). Von den Betreibern selbst, kam bisher keine Rückmeldung bezüglich der Sicherheitsproblematik, aber ich denke man wird das noch in Angriff nehmen. Allerdings war das Team im Bayern-CERT sehr schnell zur Stelle. Die Meldung ging mitten in der Nacht – also unverzüglich nach Feststellung der Schwachstelle – per Mail raus. Noch vor 10 Uhr morgens kam dann schon eine Antwort aus dem Bayern-CERT, wo man mir für das Melden der Sicherheitsproblematik beim „Landesamt für Digitalisierung“ dankte und mich über das weitere Vorgehen informierte. Meine Meldung wurde demnach an die Zuständigen weitergeleitet, welche anschließend entsprechende Maßnahmen einleiteten. Und auch die waren dann sehr schnell bei der Sache.

Landesamt reagiert – Schwachstelle binnen weniger Stunden beseitigt

Auch bei der Beseitigung der Schwachstelle war man in dem Fall ziemlich schnell. Eine kurze Überprüfung am gestrigen Nachmittag, brachte bereits ein erfreuliches Ergebnis. Man hat sich scheinbar wirklich direkt um die Sache gekümmert und die beschriebene Schwachstelle beseitigt. Eine ausführliche Nachkontrolle meinerseits erfolgte bisher nicht und auch der Rest des Portals wurde von mir nicht genauer „inspiziert“. Das Bayern-CERT teilte nämlich in der ersten Rückmeldung auch mit, dass man sich – sobald die Schwachstelle beseitigt wurde – mit einem intensiven Penetrationstest auf der genannten Website beschäftigen wird.

Es freut mich, dass die gemeldete Schwachstelle beseitigt werden konnte. Auch ist die Tatsache, dass man sehr schnell auf die Sicherheitsmeldung reagierte, wirklich sehr erfreulich. Ich gehe aber auch davon aus, dass diese schnelle Reaktion durchaus mit der kürzlich bekannt gewordenen Misere im CSU-Landtag zusammenhängen könnte. Ich bin gespannt, ob man sich bei der Regierung vielleicht einmal Gedanken darüber machen wird, sich vielleicht besser VOR dem Ansturm auf die Digitalisierung, zunächst um die „Basics“ zu kümmern. Ein kleiner Anschub dafür könnte auch sein, dass ich – während ich an diesem Artikel schreibe – bereits weitere „Problemchen“ finden durfte. Man darf als Leser also davon ausgehen, dass es in Kürze noch weitere Meldungen dieser Art geben wird. Wer keinen Artikel verpassen möchte, sollte sich für meinen Newsletter anmelden.

Cheers!