Sicherheitslücken in sensiblen Systemen, die unsere heiklen persönlichen Daten verarbeiten, müssen so schnell wie möglich geschlossen werden. Das betraf z.B. das Epidemiologische Meldesystem (EMS), Datenskandale in der Pandemie oder aktuell: die Seite zur Auszahlung des Klimabonus.

Sicherheitsforscher haben sowohl beim Gesundheitsministerium als auch beim Klimaministerium Schwachstellen aufgedeckt und verantwortungsvoll nach allen Regeln der „ethical disclosure“ gemeldet. Darin, wie mit den entdeckten Sicherheitslücken in den Ministerien umgegangen wurde, unterscheiden sich die beiden Fälle aber gewaltig.

EMS – Anzeige gegen verantwortungsvolle Aufdecker:innen

Als wir Ende 2021 im EMS eine kritische Sicherheitslücke aufgedeckt hatten, erstattete das Gesundheitsministerium sofort Anzeige gegen uns wegen Hacking (§ 118a StGB). Im Februar 2024 wurde das Verfahren nach über zwei Jahren eingestellt, u.a. weil die notwendige Spionage- oder eine Schädigungsabsicht fehlten.

Der Fall zeigt nicht nur, dass Österreich dringenden Nachholbedarf beim Rechtsschutz für IT-Sicherheitsforscher:innen hat. Die Strafverfolgung von verantwortungsvollen Aufdecker:innen hat auch einen abschreckenden Effekt und führt dazu, dass gefundene Lücken aus Angst vor Anzeigen womöglich gar nicht erst gemeldet werden.

Klimabonus – effektive Kommunikation, Schutz & Anreiz für moralisch richtiges Handeln

Mit der Website zur Auszahlung des Klimabonus gab es nun einen ähnlichen Fall, der hingegen zeigt, wie es richtig geht. Moralisch richtiges Handeln wurde hier belohnt, statt einen weiteren abschreckenden Fall zu schaffen.

Auf der Plattform hätte man aufgrund eines Fehlers durch Verwendung von gefälschten Ausweisen einzelne Daten zum Auszahlungsstatus des Klimabonus abfragen können; u.a. die Bankleitzahl oder die Höhe des Klimabonus. Daten von Bürger:innen sind laut Klimaministerium keine abgeflossen.

Der Sicherheitsforscher Andre Savic hat den Fehler entdeckt und sofort an das Klimaministerium, das österreichische CERT (Computer Emergency Response Team) und epicenter.works gemeldet.

ZUM BERICHT

Wir haben das Ministerium daraufhin ebenfalls umgehend kontaktiert und ausdrückliche Empfehlungen für das weitere Vorgehen ausgesprochen. Es gab intensiven Austausch mit dem Ministerium, in dem wir mündlich und schriftlich Empfehlungen abgaben und die Fragen aufzeigten, die im Rahmen einer verantwortungsvollen Aufklärung eines solchen Vorfalls zu beantworten sind.

ZU DEN EMPFEHLUNGEN   ZUM FRAGENKATALOG

Eine effektive Kommunikation mit den Aufdecker:innen und dass dieser heikle Fehler ernst genommen wurde, führten dazu, dass die Sicherheitslücke rasch geschlossen werden konnte.

„In diesem Fall wurde die Meldung ernst genommen, die Gefahr abgestellt und es wurden sogar die richtigen Lehren für die Zukunft gezogen. Ein Bug Bounty Programm und eine Disclosure Policy helfen künftig, die IT-Systeme in Österreich sicherer zu machen.“
– Thomas Lohninger, epicenter.works

Bug Bounty & Disclosure Policy

Der aktuelle Fall der Klimabonusplattform zeigt nicht nur eine verantwortungsvolle Zusammenarbeit mit denen, die schwere Sicherheitslücken aufdecken. Er setzt mit einer geplanten „Disclosure Policy“ auch einen wichtigen Schritt für deren Rechtssicherheit.

Ethische Hacker können damit dem Klimaministerium künftig Schwachstellen in seinen IT-Systemen melden und müssen sich nicht mehr vor einer Anzeige wegen Hacking nach § 118a StGB fürchten. Stattdessen genießen sie die lange notwendige Rechtssicherheit für ihre – zumeist unentgeltliche – Arbeit an unser aller IT-Sicherheit.

Zusätzlich soll ein „Bug Bounty“-Programm eingeführt werden, mit dem diejenigen, die Schwachstellen finden und melden, auch dafür entlohnt werden. Zu beiden Maßnahmen gab es vom Ministerium ein öffentliches Bekenntnis.

Richtige Lehren gezogen

Beide Maßnahmen schaffen Anreize für die verantwortungsvolle Meldung von IT-Schwachstellen und machen unsere Systeme in Zukunft sicherer.

Diese Vorgehensweisen sind im IT-Bereich international längst Standard. Auch wenn die Maßnahmen nicht die notwendige Rechtsreform des Hacking-Straftatbestands darstellen, die ethische Hacker in allen Bereichen schützt, freuen wir uns, dass auch Österreich mit dem Klimaministerium Schritte in die richtige Richtung setzt.

Was genau passiert ist

6. August 2024:
Die relevante API geht online
20. August, ~20:30:
Der Sicherheitsforscher Andre Savic bemerkt den Fehler
21. August, 02:44:
Ausführliche Meldung von Andre Savic an das BMK (servicebuero@bmk.gv.at, Adresse aus Impressum), CERT und epicenter.works
21. August 2024, 11:11:
Erster Anruf von epicenter.works beim BMK
21. August 2024, ~22:30:
Das Formular auf klimabonus.gv.at wurde entfernt. Die API bleibt online
22. August 2024, ~13:00:
Der API-Endpoint wird offline genommen
27. August 2024:
Schriftliche Empfehlung von epicenter.works an das BMK
30. August 2024:
Weitere Empfehlungen und offene Fragen von epicenter.works an das BMK