BMK: IT-Sicherheitslücke durch Hinweis eines engagierten IT-Kenners verhindert – keine Daten von Bürger:innen betroffen

Erfolgreiche Zusammenarbeit mit Ethical Hacker & Datenschutzverein epicenter.works beseitigt mögliche Sicherheitslücke, BMK arbeitet an „Bug Bounty“-Programm und Disclosure Policy

Ende August konnte im Klimaschutzministerium nach einem Hinweis im Rahmen einer sogenannten Ethical Disclosure – also eines freundlichen Hinweises eines privaten Hackers – eine mögliche Sicherheitslücke auf der Webseite des Klimabonus beseitigt werden. Durch die rechtzeitige Behebung der Schwachstelle konnte sichergestellt werden, dass keinerlei Daten von Bürger:innen abgeflossen sind. 

Ein sogenannter Ethical Hacker, in diesem konkreten Fall Andre Savic, hatte beim Testen der Klimabonus Webseite eine mögliche Sicherheitslücke im Zusammenhang mit der automatischen Überprüfung von Ausweisen entdeckt und umgehend das Klimaschutzministerium darüber informiert. Konkret hätten durch die missbräuchliche Verwendung von gefälschten Ausweisen einzelne Daten zum Auszahlungsstatus des Klimabonus abgefragt werden können, darunter die Bankleitzahl oder auch die Höhe des Klimabonus. Das Tool diente eigentlich dazu, Bürger:innen niederschwellige Informationen über den Erhalt ihres Klimabonus zur Verfügung zu stellen. Eine umfassende, externe Überprüfung hat ergeben, dass es keine Anhaltspunkte für ein Ausnutzen der Lücke gibt. Durch die engagierte Arbeit des Hackers wurde also eine mögliche Schwachstelle behoben, bevor Schaden entstehen konnte.

Der Hacker teilte seine Erkenntnisse umgehend dem Klimaschutzministerium sowie der Datenschutz NGO epicenter.works mit. Durch die rasche und erfolgreiche Zusammenarbeit konnte die Schwachstelle sofort identifiziert und beseitigt werden. Das Tool wurde offline genommen, um in weiterer Folge sämtliche Sicherheitslücken zu beheben. Für niederschwellige Informationen zum Klimabonus steht den Bürger:innen selbstverständlich weiterhin die Service Hotline unter 0800 8000 80 zur Verfügung. 

Im Zuge der gebotenen Vorsichtsmaßnahmen hat das Klimaschutzministerium auch die Datenschutzbehörde informiert. Diese hat das entsprechende Verfahren mittlerweile eingestellt, da keinerlei Daten abgeflossen sind und sofort alle entsprechenden Maßnahmen gesetzt wurden. Zusätzlich wurden externe Expert:innen mit einer neuerlichen Prüfung des Sachverhaltes beauftragt. Auch diese Prüfung kam zum Ergebnis, dass keinerlei Daten von Bürger:innen abgeflossen sind. 

Als Ergebnis dieses Vorfalls und auf Empfehlung von epicenter.works arbeitet das Klimaschutzministerium nun daran, ein Programm einzurichten, mit dem Menschen, die das Ministerium auf Sicherheitsverbesserungen aufmerksam machen, eine Belohnung bekommen. Ein so genanntes „Bug Bounty“-Programm sieht Vorteile für Personen vor, die Fehler in Webseiten oder Applikationen finden und die entsprechenden Institutionen im Rahmen einer Ethical Disclosure darüber informieren. Mit einer Disclosure Policy wird darüber hinaus auch Rechtssicherheit für ethische Hacker geschaffen. Diese Vorgehensweise ist im IT-Bereich international mittlerweile Standard. Daran wird sich auch das Klimaschutzministerium orientieren. Darüber hinaus wird diese Thematik auch in der CDO-Task Force des Bundes eingebracht werden. Die Task Force ist eine Arbeitsgruppe der Chief Digital Officer aller Ressorts.

Joachim Tischler, stellvertretender Chief Digital Officer des Bundes: „Diese geschlossene Sicherheitslücke ist ein Vorzeigebeispiel dafür, wie verschiedene Institutionen und engagierte IT-Kenner:innen erfolgreich zusammenarbeiten können, um die Daten von Bürger:innen zu schützen. Dank des Hinweises im Rahmen einer Ethical Disclosure konnten wir im BMK rasch reagieren und den Datenschutz für alle Bürger:innen gewährleisten. Das Klimaschutzministerium wird sich in den nächsten Wochen für ein „Bug Bounty“-Programm im Ressort einsetzen, damit dieser wichtige Dienst an der Öffentlichkeit auch honoriert werden kann.“

Thomas Lohninger, Geschäftsführer von epicenter.works: „Sicherheitslücken in sensiblen IT-Systemen, die unsere heiklen persönlichen Daten verarbeiten, müssen so schnell wie möglich geschlossen werden. In diesem Fall wurde die Meldung ernst genommen, die Gefahr abgestellt und es wurden sogar die richtigen Lehren für die Zukunft gezogen. Ein „Bug Bounty“-Programm und eine Disclosure Policy helfen künftig, die IT-Systeme in Österreich sicherer zu machen. Damit wird moralisch richtiges Verhalten belohnt und wir verhindern, dass gefundene Lücken aus Angst vor Anzeigen gar nicht erst gemeldet werden.“

 

BM für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und
Technologie
Samson Sandrieser-Leon
Telefon: +43 1 71162 658022
E-Mail: samson.sandrieser-leon@bmk.gv.at

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
© Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender