Nachdem die AK Salzburg ihre Wählerservice [sic! no gendering] ungesichert online gestellt hatte, fand ein junger Mensch ein It-Security Problem darin, wie die Salzburger Nachrichten vorbildlich und Die Presse sehr mangelhaft berichtet. Darauf hat die AK Salzburg eine „offizielle Stellungnahme” auf ihrer „Intenetseite” (O-Ton ORF) veröffentlicht (Screenshot).

Dazu nun von mir ein „There, I fixed it”, mit Korrekturen in Rot und Anmerkungen in Grau:

offizielle stellungnahme zum hackerangriff auf unser sicherheitsproblem unseres wählerservice [ja, im Original-HTML was das alles klein geschrieben]

Viele namhafte Unternehmen werden immer wieder mit Sicherheitslücken konfrontiert. Ob Weltkonzerne, Banken, Behörden und Regierungen, oder auch vor einigen Jahren ein bekanntes großes Salzburger Unternehmen. [Die Salzburg AG, Anm.]

Jetzt ist unser Wählerservice Ziel eines Hackers leider für eine vermeidbare Sicherheitslücke bekannt geworden. Es geht um Namen, Adressen und Sozialversicherungsnummern. Nach derzeitigem Informationsstand sind 11 Personen inklusive des jungen Mannes, der diese sogenannte Bruteforce-Attacke durchgeführt hat, betroffen. [Wenn der Junge Mann nach 10 Personen aufgehört hat, kann man nicht wirklich von einer Bruteforce-Attacke, also einem Angriff mit roher Gewalt/Rechenleistung sprechen. Schon gar nicht bei „nur” 450.000 Abfragen in vier Tagen. Und „Brut” statt „Brute” sagt auch schon viel über die Kompetenz aus …]

Die 10 Personen wurden bereits schriftlich von uns informiert, wie in Artikel 34 der DSGVO vorgeschrieben. [Diese Meldung wäre nach Artikel 24, Ziffer 3(a) nicht notwendig gewesen, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. damit hat die AK Salzburg quasi bereits bestätigt, dass die Sicherheitsvorkehrungen nicht ausreichend waren.]

Wir haben sofort nach Kenntnis des Angriffs intern reagiert. Mit der Veröffentlichung dieser Handlung in den Sozialen Netzwerkenauf Reddit, hat dieser Vorfall ein Ausmaß angenommen, der uns veranlasst hat, eine Meldung bei der Datenschutzbehörde abzugeben, wie in Artikel 33 der DSGVO vorgeschrieben.
Besser wäre der komplette Absatz eigentlich so gewesen:
Wir haben, nachdem uns das Problem zur Kenntnis gelangte, unmittelbar reagiert indem wir den betroffenen Dienst offline genommen und unserer gesetzlich vorgeschriebenen Informationspflicht bezgl. Datenschutzbehörde und den betroffenen Personen nachgekommen sind. Darüber hinaus haben wir die weiter unten angeführten internen Maßnahmen gesetzt.

Zeitgleich wurde dieses Service komplett von der Website genommen. Weitere rechtliche Schritte behalten wir uns nach Prüfung des Sachverhaltes noch vor. Wir bedauern sehr, dass die initiale Kommunikation zwischen „manujell” und unserem Unternehmen nicht unmittelbar in die richtigen Kanäle und damit zur korrekten Behebung des Problems geführt hat. Um in Zukunft die Kontaktaufnahme durch die Security-Community einfacher zu machen und intern an die kompetenten Stellen zu leiten, werden wir umgehend security@ak-salzburg.at gemäß RFC 2142 auf unserem Mailserver (der derzeit von der A1/Telekom betrieben und mit einer Ikarus Lösung abgesichert wird) sowie /.well-known/security.txt gemäß RFC 5785 auf unserem Webserver einrichten.
Da bei dem Zugriff auf die personenbezogenen Daten leider keine spezifischen Sicherheitsvorkehrung zu überwinden waren, sehen wir von einer Anzeige gemäß §118a StGB selbstverständlich ab. Da das Schutzniveau für die betroffenen Daten nicht geeignet war, um Artikel 32 der DSGVO zu entsprechen, werden wir unsere EntwicklerInnen und SystemadministratrorIinnen und natürlich auch deren Teamleiter und Management entsprechend sensibilisieren und passende Fortbildungsangebote erstellen und durchführen. Insbesonders werden wir unser Augenmerk auf die folgenden Punkte legen:

• OWASP Top 10 -2017 „A5:2017 Fehler in der Zugriffskontrolle”, insbes. Änderbarkeit des Primärschlüssels zu dem eines anderen Benutzers, so dass das Konto dieses Benutzers angezeigt oder bearbeitet werden kann.
• OWASP Top 10 -2017 „AS10:2017 Unzureichendes Logging & Monitoring”
• Application Security Verification Standard 3.0.1: Verify that access to sensitive records is protected, such that only authorized objects or data is accessible to each user…

Etwaige durch die Datenschutzbehörde verhängte Geldbußen werden wir selbstverständlich umgehend begleichen.

Darüber hinaus werden wir für unsere (Krisen-)Kommunikationsabteilung Arbeitstreffen mit dem CCC ERFA Salzburg und „Jugend Hackt” organisieren, um der negativ konotierten Verwendung des Begriffs „Hacker” entgegen zu wirken.

Bei der direkten Abfragemöglichkeit der Wahlberechtigung zur AK-Wahl war der Servicegedanke für unsere Mitglieder im Vordergrund. Wie man sieht: Kein Unternehmen, keine Institution ist im Netz vor mutwilligen Angriffen Fehlern in der IT(-Security) gefeit.

So liest sich der Text doch gleich viel besser :D

Tagged as: | Author: Martin Leyrer
[Freitag, 20190201, 18:32 | permanent link | 0 Kommentar(e)