Zu den gutwilligen „Hackern“ zählt ein bayrischer Cyber Security Experte, der eine IT-Sicherheitslücke im AMS-Netzwerk auf seiner Website veröffentlichte, nachdem er das AMS darüber informierte. Dieser hatte keinerlei bösartiger Absicht und ist bekannt dafür immer wieder Sicherheitslücken von öffentlich wirksamen Organisationen aufzudecken.

Wie genau sieht diese Sicherheitslücke aus?

Es wird beschrieben, dass es für IT-affine Personen ein Einfaches wäre, Administratorrechte auf der AMS-Schulungswebsite zu erlangen. Im Detail handelte es sich um eine Schulungs- und Informationsplattform für Mitarbeiter, die sich mit dem Thema Kurzarbeit beschäftigt. Die Plattform ist öffentlich im Web unter kuaschulung.ams.at für jeden erreichbar. „Das Anlegen von Inhalten, das Bearbeiten von vorhandenen Datensätzen und auch das Hochladen von Dateien auf den Server war ohne jegliche Überprüfung von Berechtigungen möglich. Für einen potenziellen Angreifer eine Einladung auf dem Silbertablett – Für die Betroffenen der absolute Albtraum“, schreibt der IT-Experte auf seinem Blog.

Doch wie gelangte der IT-Experte an die Administratorrechte?

Der Quellcode der Startseite verrät Angreifern häufig diverse Informationen. So auch in diesem Fall. Wird die Website kuaschulung.ams.at aufgerufen, gelangt man direkt zum Login. Der Login wurde bei diversen Unterseiten nicht mehr angefordert. Durch den direkten Aufruf von bestimmten Unterseiten (welche im Quellcode ersichtlich waren), gelang es dem IT-Experten den nichtöffentlichen Bereich für Mitarbeiter zu öffnen und dann auch – ohne jegliche Anmeldung – die Inhalte zu durchforsten, so wie es eigentlich nur autorisierte Mitarbeiter des AMS können. Dieser Umstand war aus Informationssicherheitssicht bereits kritisch.

Aber halt! Da ist noch mehr! Nämlich im Administratorbereich der Webseite. Auch hier verriet der Quellcode, dass Unterbereiche und Unterseiten aufrufbar waren. In der Regel wird beim Versuch Inhalte zu verändern oder Dateien hochzuladen, ein Script ausgelöst, welches die Berechtigungen überprüft und ein Speichern oder Hochladen unterbindet. Dies war bei der AMS Plattform nicht der Fall und ein Speichern, Bearbeiten von vorhanden Daten und Hochladen war uneingeschränkt möglich.

What could possibly go wrong?

Im AMS Fall könnten Angreifer beispielsweise rechtsverbindliche Richtlinien manipulieren. Zudem besteht die Möglichkeit mittels Administratorrechte Malware unter den anderen Mitarbeitern zu verbreiten und auch Ransomware (wie etwa Kryptotrojaner, Erpressungstrojaner, … ) auf deren Rechner zu platzieren. Somit könnten nicht nur die Mitarbeiter angegriffen werden, sondern letztlich die gesamte IT-Infrastruktur des AMS. Da die Systeme derartiger Institutionen nicht selten auch mit Behördennetzwerken verbunden sind, hätte man den Angriff womöglich sogar quer durch die Behörden und Regierungssysteme ausweiten können.

Fazit

Laut AMS seien die Hinweise „dermaßen unkonkret“ gewesen, „dass sie unbrauchbar waren“. Auch wäre es „falsch“, dass eine Lücke geschlossen worden sei. Im Gegenteil seien die IT-Systeme des AMS auf dem technisch höchsten Niveau. Eine kühne Behauptung aus Sicht des IT-Experten, wonach man bestenfalls von einem Amateurlevel auf dem Stand von vor 20 Jahren reden kann. Andererseits, wenn man Kaufhaus Österreich als Maßstab heranzieht, dann war gestern gerade erst 1995...