Onlinedienste österreichischer Behörden weisen massive Sicherheitslücken auf

Auf der IKT (Sicherheitskonferenz des Österreichischen Bundesheeres), der größten Veranstaltung zum Thema Cybersecurity in Österreich, haben sich Sicherheitsexperten der Firmen Alphastrike und Limes Security die Sicherheit von öffentlich zugänglichen Onlinediensten heimischer Behörden und der kritischen Infrastruktur angesehen. Das Ergebnis liege nach einem Bericht im Standard irgendwo zwischen „besorgniserregend“ und „alarmierend“. Die Dienste seien in einem beachtlichen Ausmaß von bis zu zwölf Prozent offen für technisch selbst nur minimal begabte Angreifer. Die Experten haben dabei lediglich automatisierte Scans durchgeführt, wie sie jeder mit etwas technischem Fachwissen durchführen könne. Dies habe nichts mit Hacks oder gezielten Scans zu tun.

Acht Prozent sämtlicher zu österreichischen Ministerien gehörenden Webservices weisen demnach bekannte und automatisierte, einfach aufspürbare Sicherheitslücken auf. Beim Bundeskanzleramt (BKA) seien sogar zwölf Prozent, beim Finanzministerium „nur“ zwei Prozent akut gefährdet. Bei den Onlinediensten in den Bundesländern liege der Wert der Services mit bekannten Sicherheitslücken bei 11,35 Prozent, dh jeder neunte dieser Dienste sei offen für technisch selbst nur minimal begabte Angreifer. Die Experten nennen dazu besonders eindrückliche Beispiele, wie die offenbar frei zugängliche Steuerung der Straßenbeleuchtung in einer Stadt oder die Verwendung sehr veralteter Softwareversionen, wo es keinerlei Updates mehr gebe. Es haben sich zum Teil offen im Internet hängende, geteilte Datenspeicher finden lassen, auch viele Datenbanken seien direkt erreichbar. Remote-Desktop-Dienste wie RDP oder VNC seien ebenfalls oft direkt zu erreichen, ein absolutes No-Go im Bereich Cybersicherheit. Beim BKA haben die Experten 153 bekannte Sicherheitslücken in den Diensten gefunden, darunter welche, die einen Gefährlichkeitsgrad von 9,8 von zehn maximalen Punkten haben.

Man mache es in Wirklichkeit Angreifern sehr, sehr einfach, eine Vielzahl von offiziellen Webservices zu übernehmen, betonen die Sicherheitsexperten. Und dies obwohl schon seit Jahren auf diese Problematik hingewiesen werde. Es sei auch verblüffend, dass offenbar niemand bei den Behörden versuche, die Gesamtsituation im Blick zu haben, um Probleme gezielt angehen zu können.

Hier geht es zum Beitrag im Standard …

Teilen mit: