Sicherheitslücken beim Bund – Bundesamt für Kartographie und Geodäsie (BKG) nimmt Website offline

Wie der Titel schon verrät, gewinnt der „Sturm“ weiter an Fahrt und er bewegt sich auch weiter auf Ebene der Regierung. Ich hatte ja schon angekündigt, dass es in Zukunft zu weiteren Meldungen über Sicherheitslücken bei der Regierung kommen wird. Und die „größten Eier“ sind da noch gar nicht angesprochen worden. Etwas „lustig“ an der Sache ist ja der Fakt, dass ich sogar während dem Schreiben von Berichten über Sicherheitslücken innerhalb der Regierung, direkt wieder fündig werde. Und ihr werdet nun wahrscheinlich lachen, aber das geht tatsächlich so weiter. Hätte ich mehr Zeit für solche „Späße“, würde ich vermutlich den halben Tag solche Artikel schreiben. Und… Ja, das Titelbild ist an dieser Stelle bewusst gewählt. Es kommt meiner Mimik der vergangenen Tage sehr nahe. Ich spiele damit auf meine immer wieder erwähnten Bedenken (Bauchschmerzen) bezüglich der Digitalisierung an, welche sich mit jedem neuen Fund kritischer Sicherheitslücken auf Systemen der Regierung, unweigerlich verstärken.

Kritische Sicherheitslücken beim Bund – BKG nimmt Website präventiv offline

Vor wenigen Tagen – genauer gesagt am 05.11.2020 – wurde ich erneut auf Sicherheitslücken aufmerksam und habe in dem Fall „instant“ das Cyber Emergency Response Team der Bundesregierung (CERT-Bund) über die aufgedeckten Probleme informiert. Zudem selbstverständlich auch die betroffenen Betreiber, in dem Fall das Bundesamt für Kartographie und Geodäsie (BKG). Anlass für die schnelle Meldung zur späten Stunde, waren ungefilterte Parameter innerhalb eines Webauftritts des BKG, welche zu uneingeschränktem XSS und praktischer SQL Injection eingeladen hatten. Nachdem ich die Sicherheitslücken validieren und den Umfang definieren konnte, notierte ich die entsprechenden Problemstellen und schrieb kurzerhand eine E-Mail an die jeweiligen Ansprechpartner, die dann auch schnell aufmerksam wurden. Das BKG reagierte am heutigen Vormittag dann auch per Mail und informierte darüber, dass man die betroffene Website vorübergehend offline genommen hat, um in den kommenden Tagen ein Patch einspielen zu können. Dass es hier und da mal ein wenig dauern kann, bis Schwachstellen beseitigt werden, ist verständlich und die temporäre Abschaltung der betroffenen Bereiche in meinen Augen sehr vorbildlich und konsequent.

Ein Lob an das CERT – Schnelle Reaktion durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Ich möchte an der Stelle auch noch einmal die schnelle Reaktion des CERT erwähnen. Meine Sicherheitsmeldung ging am 05.11.2020 kurz vor Mitternacht raus und bereits am nächsten Morgen um 08:03 Uhr (!) erhielt ich eine Rückmeldung. Das ist wirklich hervorragend und hat mich schwer beeindruckt. Immerhin kann ich mir vorstellen, dass man beim CERT und allgemein beim BSI, täglich eine riesen Ladung Mails im Postfach und lange ToDo-Listen hat. Da ist solch eine schnelle Reaktion schon ne Hausnummer. Ich glaube die einzige Behörde in Deutschland, die solche Reaktionszeiten noch toppen kann, ist wohl das Finanzamt, wenn die elektronische Steuererklärung ergibt, dass du noch 1,25 EUR nachzahlen musst. Hahaha…

Fühle mich geehrt – BSI Präsident bedankt sich für mein Feedback

Was ich auch noch erwähnen möchte, ist die Reaktion von Arne Schönbohm (Präsident des Bundesamts für Sicherheit in der Informationstechnik) auf meinen Post bei Twitter, mit dem ich mich beim BSI für die schnelle Rückmeldung bedankt hatte.

Danke für die positive Rückmeldung. Ist ein weiterer Ansporn gute Arbeit zu leisten! https://t.co/MHuEa0hxA3

— Arne Schönbohm – privat (Äußerung nach Art. 5 GG) (@ArneSchoenbohm) November 6, 2020

Ich muss sagen, dass ich mich da schon ein wenig geehrt fühle. Und es ist irgendwie schön zu merken, dass man auch „ganz oben“ wahrgenommen wird. An der Stelle kann ich auch versichern, dass die bisherige „Kooperation“ für mich definitiv auch ein Ansporn ist, weiter ein offenes Auge für potentielle Sicherheitslücken zu haben und diese wie bisher zu melden.

Tatsächlich wird es auch heute noch eine weitere Sicherheitsmeldung an das CERT geben. In dem Fall ist es aber dann mal wieder das BayernCERT, welches ich über eine Sicherheitsproblematik beim Staatsministerium für Justiz (ja, quasi genau an der richtigen Stelle) informieren werde. Wer den späteren Bericht dazu und auch weitere Artikel von mir nicht mehr verpassen möchte, kann sich für meinen Newsletter registrieren. Keine Sorge, ich informiere mit dem Newsletter lediglich über neue Artikel oder wichtige Themen. Spam bockt mich ungefähr gar nicht, darum beschränkt sich der Newsletter auf das Wesentliche.

Cheers!