Bank-Daten
Grobe Sicherheitslücke beim Klimabonus entdeckt
Auf der Klimabonus-Website hätten Kriminelle über das Abfrage-Tool an sensible Daten kommen können. Ein "guter Hacker" war zum Glück schneller.
Da hatten Klimaschutzministerium und mögliche Betroffene noch einmal Riesenglück: Eine Sicherheitslücke beim Klimabonus wurde von einem "Ethical Hacker" entdeckt, noch bevor Kriminelle sie sich zunutze machen konnten.
Der Vorfall fand bereits Ende August statt und kam nun per Aussendung des Ministeriums an die Öffentlichkeit. "Durch die rechtzeitige Behebung der Schwachstelle konnte sichergestellt werden, dass keinerlei Daten von Bürger:innen abgeflossen sind", heißt es darin.
Bankleitzahl, Geldbetrag
Zur Vorgeschichte: Der "gute Hacker" Andre Savic nahm die Website des Klimabonus genauestens unter die Lupe. Dabei entdeckte er eine mögliche Sicherheitslücke bei jenem Abfrage-Tool, mit dem Bürger rasch den Auszahlungsstatus ihres Klimabonus überprüfen können sollen. Konkret hätten durch die missbräuchliche Verwendung von gefälschten Ausweisen einzelne Daten abgefragt werden können, darunter die Bankleitzahl oder auch die Höhe des Klimabonus.
Auf den Hinweis des IT-Experten hin fand eine externe Prüfung statt, die aber ergeben habe, dass keine Daten abgeflossen seien. "Durch die engagierte Arbeit des Hackers wurde also eine mögliche Schwachstelle behoben, bevor Schaden entstehen konnte." Mittlerweile wurde das Tool gänzlich offline genommen.
Auch die Datenschutzbehörde wurde informiert, ein entsprechendes Verfahren aber bereits eingestellt, weil es zu keinem Schaden kam. Als Ergebnis dieses Vorfalls und auf Empfehlung von epicenter.works arbeitet das Klimaschutzministerium nun daran, ein Programm einzurichten, mit dem Menschen, die das Ministerium auf Sicherheitsverbesserungen aufmerksam machen, eine Belohnung bekommen.
Gute Zusammenarbeit
Joachim Tischler, stellvertretender Chief Digital Officer des Bundes, kann von dem Vorfall also auch etwas Positives mitnehmen. "iese geschlossene Sicherheitslücke ist ein Vorzeigebeispiel dafür, wie verschiedene Institutionen und engagierte IT-Kenner:innen erfolgreich zusammenarbeiten können, um die Daten von Bürger:innen zu schützen. Dank des Hinweises im Rahmen einer Ethical Disclosure konnten wir im BMK rasch reagieren und den Datenschutz für alle Bürger:innen gewährleisten."
Dem schließt sich Thomas Lohninger, Geschäftsführer von epicenter.works, an: "Sicherheitslücken in sensiblen IT-Systemen, die unsere heiklen persönlichen Daten verarbeiten, müssen so schnell wie möglich geschlossen werden. In diesem Fall wurde die Meldung ernst genommen, die Gefahr abgestellt und es wurden sogar die richtigen Lehren für die Zukunft gezogen."
Auf den Punkt gebracht
- Eine Sicherheitslücke auf der Klimabonus-Website, die es Kriminellen ermöglicht hätte, sensible Daten wie Bankleitzahlen und Auszahlungsbeträge abzufragen, wurde von einem "Ethical Hacker" rechtzeitig entdeckt und behoben, bevor Schaden entstehen konnte
- Das Klimaschutzministerium plant nun ein Belohnungsprogramm für Hinweise auf Sicherheitsverbesserungen, um zukünftige Risiken zu minimieren